7 – AUTRES REFERENTIELS
2. Les niveaux de maturité de processus
Il est possible de contrôler, mesurer, et améliorer un processus.
Principe de base: contrôle statistique des processus.
Un processus est stable, sous contrôle statistique, si la variation de sa performance future est prévisible et demeure à l’intérieur des limites statistiques acceptables. Cela veut dire que, si on répète le travail de la même façon, on obtiendra le même résultat. Pour obtenir de meilleurs résultats il faut améliorer le processus.
Le contrôle statistique est basé sur les mesures du processus que l’on veut contrôler. Les mesures sont à définir et valider de façon à être représentatifs des choses que l’on veut contrôler.
Démarche pour améliorer le processus
o • Evaluer la maturité du processus qualité en place (questionnaire) o • Analyser les résultats pour déterminer les priorités
o • Postuler des objectifs d’amélioration à atteindre o • Elaborer un plan d’action pour atteindre les objectifs
o • Mettre en oeuvre les améliorations avec les ressources nécessaires o • Mesurer l’impact des améliorations et recommencer.
2. Les niveaux de maturité de processus
Les 5 niveaux de maturité
Niveau 1 « initial »
L'organisation ne dispose pas de procédures formalisées d’évaluation, de développement et d’évolution de ses applications. L’engagement de ses ressources humaines ne permet pas une capitalisation de l’expérience du fait du turnover. Des crises surviennent en cours de projet.
Lorsque l'échec se matérialise, les éventuels rudiments de méthode sont abandonnés pour tenter des raccourcis dans le processus de réalisation et de validation. Les efforts d'organisation régressent alors vers des pratiques d'engagements purement réactives, de type « codage et tests » qui amplifient la dérive.
Niveau 2 « reproductible »
La gestion des nouveaux projets est fondée sur l'expérience mémorisée à l'occasion de projets semblables. L’engagement permanent des ressources humaines garantit une pérennité du savoir-faire dans la limite de leur présence au sein de l’organisation.
Niveau 3 « défini »
Des directives de gestion de projet et des procédures en permettant l'application sont établies.
Le processus standard de développement et d’évolution logiciel est documenté. Il intègre en un tout cohérent les procédés d'ingénierie logiciel et de gestion de projet. Un programme de formation est en place dans l'organisation afin que les utilisateurs et les informaticiens acquièrent les connaissances et les compétences nécessaires pour assumer les rôles qui leur ont été confiés.
Niveau 4 « maîtrisé »
L'organisation se fixe des objectifs quantitatifs et qualitatifs. La productivité et la qualité sont évaluées. Ce contrôle se fonde sur la validation des jalons majeurs du projet dans le cadre d'un programme planifié de mesures.
Niveau 5 « optimisé »
L'amélioration continue des processus est la principale préoccupation. L'organisation se donne les moyens d'identifier et de mesurer les faiblesses de ses processus. Une cellule de veille technologique identifie puis acquiert et met en œuvre les produits innovants. Elle recherche les pratiques d'ingénierie logiciel les plus efficaces, particulièrement celles dont la synergie permet l’amélioration continue de la qualité.
7.3 – COBIT (Control Objectives for Business & Related Technology)
COBIT est un modèle de référence en matière d’Audit et de Maîtrise des Systèmes d’Information. Il aide les dirigeants à comprendre et à gérer les risques liés à l’informatique. Il fait le lien entre les processus de gestion, les questions techniques, les besoins de contrôle et les risques. COBIT est structuré en quatre grands domaines permettant de couvrir l’ensemble des pans métiers que revêt un Système d’Information
o ORGANISATION ET STRATÉGIE o ACQUISITION ET MISE EN PLACE o DISTRIBUTION ET SUPPORT o SURVEILLANCE
Principe du COBIT
Le fonctionnement de la plupart des grandes entreprises repose complètement sur le traitement de l'information.
L'enjeu crucial, face à cette dépendance, est de savoir si les technologies de l'information sont en cohérence avec les objectifs pris au sens le plus large, et la stratégie de l'entreprise. Le COBIT (Common Objectives for Business Information Technology) est un outil puissant qui œuvre dans ce sens.
Qu'est-ce que le COBIT ?
Développé par l'ISACA (Information System Audit & Control Association) dont l'AFAI (Association Française de l'Audit et du conseil Informatique) assure la diffusion francophone, COBIT est un référentiel de gouvernance des systèmes d'information qui couvre 34 processus (voir la liste en annexe), répartis en quatre domaines :
- planning et organisation, - acquisition et mise en place, - fourniture du service et support, - surveillance.
COBIT pour l'auditeur informatique
A l'origine, les premières versions de COBIT ont été développées pour les auditeurs informatiques, dans la droite ligne des travaux de l'ISACA et du souci d'accompagner au mieux la profession des auditeurs des systèmes d'information.
Notons d'ailleurs que l'ISACA avait depuis plus de 10 ans lancé une certification mondiale des auditeurs de système d'information (CISA).
Dans cette logique, COBIT peut être utilisé pour mener toute forme d'investigation.
Le schéma n°2 illustre l'organisation du référentiel selon un cube permettant d'auditer un processus, un critère d'information et une ressource.
Comment est utilisé le COBIT
A partir de ce référentiel général, COBIT donne une liste détaillée de plus de 300 objectifs de contrôle qui permettent à l'auditeur de cadrer son investigation.
COBIT est utilisé comme une base solide de points de contrôles, il aide à la sélection des zones critiques et à leur évaluation. Même s'il est parfois nécessaire de le compléter en fonction des spécificités du sujet (pour un audit de sécurité il conviendra par exemple d'ajouter les aspects propres aux dispositifs de sécurité existants ; il en sera de même pour tout ce qui a trait au domaine légal et réglementaire), COBIT permet de prendre en compte des points qui n'auraient pas été évoqués, faute d'y songer ou par manque de connaissance.
Le référentiel d'audit et/ou de contrôle établi à partir de COBIT permet à des auditeurs non informaticiens de mener de façon professionnelle des audits informatiques intégrés aux audits généraux. Il sert aussi à établir les questions à dérouler lors des entretiens.
Construire un référentiel métier est une démarche de fond dont les entreprises ne peuvent faire l'économie. Le COBIT apparaît de l'avis général comme une bonne base pour cela. Ceci n'exclut pas pour autant de le compléter par d'autres référentiels (SAC Report, normes ISO, ITIL, par exemple).
Cobit pour le dialogue entre Audit Interne et DSI
Pour la DSI (Direction des Systèmes d'Information), COBIT est fréquemment utilisé comme outil d'auto évaluation.
C'est un moyen pour elle de démontrer à sa hiérarchie, et ce de façon proactive, que son niveau de maîtrise des systèmes d'information est bon, sur tous les aspects relevant de sa responsabilité.
Et les auditeurs peuvent valider la qualité de l'évaluation à l'aide du même outil. Cette approche peut être un moyen de justifier l'importance de mener des projets d'amélioration… et de débloquer des budgets !
COBIT pour le pilotage des systèmes d'information
Le guide de management COBIT est un outil précieux d'évaluation de la maturité des processus.
Une représentation graphique des résultats permet de donner clairement et simplement à une Direction Générale une vision des points forts et des points faibles de l'entreprise.
En conclusion
COBIT est un outil fédérateur qui permet d'instaurer un langage commun pour parler de la gouvernance des systèmes d'information tout en intégrant les apports d'autres référentiels comme l'ISO 9000, ITIL, CMMi ou, de façon plus générale, les spécificités de l'entreprise.
Il a l'avantage d'avoir été conçu pour une approche globale et le désavantage, pour le pilotage, d'être issu de l'audit, ce qui fait que son volet guide de management est méconnu.
Enfin, un COBIT Quickstart permet un démarrage encore plus rapide et une bonne appropriation du référentiel.
Notons qu'une application de COBIT à l'IFRS est actuellement à l'étude, sur le modèle de ce qui a déjà été fait aux USA avec Sarbanes-Oxley.
Cette approche met en lumière le niveau d'homogénéité des processus des systèmes d'information de l'entreprise. Identifier les maillons faibles amène parfois à réviser certaines stratégies manquant de cohérence.
Ce qu'apporte le COBIT sur la gouvernance des systèmes d'information
Les entreprises qui déploient des modèles de processus basés sur COBIT se rendent compte de la clarification et de la simplification que cela apporte aux processus.
Le management y trouve aussi une transparence qui permet de dépolitiser le débat autour de la valeur ajoutée des systèmes d'information. Tout ceci engendre un climat favorable aux bonnes prises de décision pour accroître l'efficience, optimiser les investissements et éclairer les choix, pour le plus grand bénéfice de l'entreprise.
A partir du standard COBIT, l'entreprise peut bâtir ses standards pour mettre sur pied un modèle de gouvernance des systèmes d'information (IT Gouvernance). Cette approche permet
d'identifier les pistes de progrès que le management doit prendre en charge : - adéquation des compétences aux enjeux,
- allocation des ressources,
- définition claire des processus ou réduction des risques en matière de sécurité des systèmes
Pour chacune des activités spécifiquement, le standard COBIT propose une série de facteurs clés de succès, des indicateurs cibles, des indicateurs de performance et un maillage entre processus (voir en particulier le chapitre : " définir des niveaux de service ") et un modèle de maturité dont les stades sont détaillés pour chaque processus.
COBIT est aussi utilisé pour faire un benchmark de différentes entités de l'entreprise.
Il permet, avec les restrictions d'usage, de se comparer avec d'autres entreprises. Plus facilement, il conduit à la définition de ses propres objectifs et à leur évaluation périodique.
Les membres de l'ISACA utilisent COBIT dans beaucoup de secteurs d'activité, partout dans le monde. Les spécificités culturelles, les différences d'avance au plan technologique, ne semblent pas limiter l'adéquation de COBIT pour l'alignement des systèmes d'information aux objectifs stratégiques de l'entreprise.
7.4 – EFQM
IntroductionLe Modèle d'Excellence EFQM (European Foundation for Quality Management) constitue un cadre non prescriptif, fondé sur neuf critères et pouvant être utilisé pour évaluer les progrès d'une organisation vers l'Excellence*. Le Modèle peut être mis en œuvre à l'aide de plusieurs approches afin de parvenir à une Excellence durable sous tous ses aspects. Elle repose sur le principe suivant:L'excellence des résultats concernant la Performance, les Clients, le Personnel et la Collectivité est obtenue grâce au Leadership qui soutient la Politique et la Stratégie et qui gère le Personnel, les Partenariats et les Ressources, et les Processus.
Concepts fondamentaux de l'excellence
• On définit l'Excellence comme une pratique exceptionnelle de management d'une organisation et d'obtention de résultats, reposant sur l'ensemble des 8 concepts fondamentaux.
Les critères
9 critères sont évalués:
• Leadership
La manière dont l'équipe dirigeante stimule et facilite la réalisation de la mission et de la vision, développe des valeurs nécessaires à une réussite à long terme et met en œuvre ces dernières par le biais d'actions et de comportements pertinents. La manière dont chacun de ses membres s'engage personnellement en s'assurant du déploiement et de la mise en œuvre du système de management dans l'organisation
• Stratégie et politique
La manière dont l'organisation met en œuvre sa mission et sa vision par une stratégie claire et orientée vers les parties prenantes, soutenue par des décisions, des plans, des objectifs, des cibles et processus appropriés.
• Personnel
La manière dont l'organisation manage, développe et libère les connaissances et le potentiel de son personnel, que ce soit au niveau de l'individu, des équipes ou de l'organisation. La manière dont l'organisation planifie ses activités afin de soutenir sa politique et sa stratégie et d'assurer un fonctionnement efficace de ses processus.
• Partenariats et ressources
La manière dont l'organisation planifie, manage ses partenariats externes et gère ses ressources internes afin de soutenir sa politique et sa stratégie et d'assurer un fonctionnement efficace de ses processus.
• Processus
La manière dont l'organisation conçoit, manage et améliore ses processus afin de soutenir sa politique et sa stratégie et de donner entière satisfaction à ses clients et aux parties prenantes tout en augmentant la valeur.
• Résultats clients
Les résultats obtenus par l'organisation vis-à-vis de ses clients externes
• Résultats personnel
Les résultats obtenus par l'organisation vis-à-vis de son personnel
• Résultats collectivité
Les résultats obtenus par l'organisation sur son impact vis-à-vis de la collectivité
• Résultats performances clés
Les résultats obtenus par l'organisation par rapport à ses objectifs de performance planifiés
Auto-évaluation et amélioration de la performance
L'Auto-évaluation, appliquée avec rigueur, permet aux organisations, grandes et petites, du secteur privé comme du secteur public, de travailler plus efficacement.
L’Auto-évaluation consiste en une revue globale, systématique, méthodique et régulière des activités et des résultats d’une organisation en se référant au Modèle d’Excellence EFQM.
Le processus d’Auto-évaluation permet à l’organisation de détecter clairement ses points forts et les domaines susceptibles d’être améliorés. Ce processus d’évaluation conduit à la mise en oeuvre de plans d’amélioration dont les progrès doivent être suivis régulièrement. Les organisations répètent ce cycle évaluation/prise de décisions et sont ainsi en mesure de réaliser des améliorations judicieuses et durables.