Pas de gouvernance IT sans transparence et confiance
La gouvernance, c’est à la fois une question de direction et de contrôle.
La gouvernance c’est donner une direction mais aussi la contrôler
La direction est une définition formelle et partagée de la stratégie d’une organisation. Le côté contrôle consiste à vérifier que la direction est la bonne dans les effets des décisions prises, et qu’elle est bien suivie par les projets et les activités qui déploient la stratégie.
Les buts d’une organisation, dans le cadre de sa mission (sa finalité) sont servis par l’usage d’actifs, matériels ou immatériels. On pourrait dire que la gouvernance consiste à guider et contrôler l’usage des actifs d’une organisation. Le but étant de créer de la valeur pour un ensemble de parties prenantes, à l’intérieur d’une stratégie définie, tout en protégeant de manière optimum les actifs en question.
Ainsi la partie direction de la gouvernance implique de définir comment créer de la valeur au mieux dans l’usage des actifs essentiels de l’entreprise, pour atteindre des objectifs. Le contrôle consiste à définir, puis suivre, les indicateurs pertinents pour mesurer la progression vers le but escompté. Qu’il s’agisse de progression vers l’obtention des bénéfices, vers la maîtrise des risques, vers un meilleur usage des ressources …De ces indicateurs dépend la capacité à prendre les décisions de réajustements nécessaires le cas échéant.
L’usage de l’IT est une question stratégique
Les technologies de l’information, une question de stratégie
L’IT, « Information technology », ou les systèmes d’information, figurent au rang des actifs essentiels des organisations. Quelle que soit l’approche choisie pour valoriser le capital. Ces actifs rassemblent les ressources d’information nécessaires à l’entreprise et les technologies numériques qui en sous-tendent la collecte, le stockage, la mise à disposition et l’exploitation.
Les entreprises utilisent le numérique pour avoir de meilleures relations avec leurs clients ou leur fournir une meilleure « expérience », telles les banques en ligne comme ING Direct, Boursorama ou les sociétés de la grande distribution telle Carrefour. Son usage est aussi dans l’optimisation des processus et des ressources, comme chez Fedex ou Amazon. Enfin, il sert à créer des services d’intermédiation au cœur même du modèle économique (uber, Airbnb, Blablacar, ebay, …).
Par conséquent, l’usage de l’IT est une question stratégique. Tant dans son apport d’opportunités à valeur ajouté, qu’en tant que facteur de risques majeurs. Pour exemple, la perte d’informations subie par Yahoo concernant des millions de comptes clients. La société, faute de protection suffisante a subi deux piratages massifs et a vu sa valeur baisser. Verizon, en passe d’acquérir l’activité internet du groupe, a pu ainsi négocier une baisse de 350 millions de dollars.
Dès lors, à l’ère du tout connecté, séparer la gouvernance de l’innovation, ou séparer la stratégie et le modèle économique de l’usage des actifs IT, c’est se tromper de voie. Ce n’est plus s’engager vers la transformation numérique, mais bel et bien vers une fracture numérique.
Sans visibilité consolidée des actifs et des projets IT, attention à la fracture numérique
La fracture numérique, c’est souvent un défaut de communication et de visibilité. En particulier, où on veut aller, avec quoi et avec qui.
La nomination de CDO (Chief Digital Officer) distinct des DSI illustre bien un cas de fracture. On leur demande de définir une stratégie numérique, souvent sans connaissance et sans prise en compte des systèmes d’information patrimoniaux. Certes, il est indispensable aujourd’hui de réinventer l’usage de l’IT au sein des organisations. Mais on ne l’invente pas ex nihilo ou au niveau d’une nouvelle direction nommée pour l’occasion. Sauf à ne pas prendre en compte deux aspects stratégiques. Le premier est le niveau d’usage des actifs IT existants de l’entreprise et leur potentiel de création, ou de destruction, de valeur. Le second est la transversalité des actifs IT et leur interconnexion, les liens entre les différents composants du Système d’Information.
Sans voir comment les applications communiquent ou s’emboitent, comment créer des architectures durables et des infrastructures partagées, tout investissement IT est borgne face au potentiel de création de valeur. Afin de prendre les décisions d’investissement au regard des objectifs stratégiques de l’organisation, il faut avoir une vision consolidée des actifs et des projets IT à l’échelle de l’entreprise.
Le « shadow IT » ne permet typiquement pas cette visibilité.
Shadow IT, decentralized IT and other negative terms make most CIOs and IT leaders nervous. Few IT organizations approach business-unit IT holistically to drive cost optimization strategies or innovation maximization strategies. Traditional approaches to business-unit IT increase costs and dampen innovation.
Gartner
L’impact, en termes de risques, du shadow IT ne peut-être négligé et impose de réfléchir à la manière de le traiter. Cf. L’article du magazine forbes
Certains se réjouissent à tort du phénomène qui montrerait plus d’implication des cœurs de métiers dans les choix IT. En réalité, le shadow IT ne montre qu’une fracture et ouvre des failles.
Le récent témoignage de Mc Kinsey, ancien DSI du DOT (Department Of Transportation, états-unis) illustre clairement les risques.
Sans consolider en central les besoins spécifiques de chaque direction et les besoins d’architecture et d’infrastructure communs à toutes, comment arbitrer sur les allocations de ressources en fonction des priorités stratégiques et des risques ?
La solution n’est pas de faire endosser à une direction la responsabilité du portefeuille d’actifs et de projets IT. Qu’il s’agisse de la direction des SI ou d’une direction métier.
Il faut d’abord reconnaître l’importance de disposer de cette visibilité en central, au plus haut niveau hiérarchique. Puis, il faudra se donner les moyens d’obtenir cette visibilité. Sans communiquer clairement sur qui décide de quoi, qui contribue à quoi, et en laissant les décisions être prises de façon segmentée, sans partager les informations en transverse, on ne peut disposer de ces moyens.
La gouvernance IT, c’est aussi affaire de management organisationnel
Le management organisationnel, ce n’est pas juste dessiner des organigrammes
Il s’agit de trouver des réponses aux questions sur la culture organisationnelle et les structures de décisions. Qui prend des décisions ? Quels sont les utilisateurs des actifs IT et pour quel fonctionnement? Qui doit être impliqué pour s’assurer que l’on obtient le comportement souhaité dans l’usage de ces actifs ? Quelles doivent être les structures de décisions adéquates ? Comment mettre en place les relations indispensables entre ces structures ? Quels pouvoirs donner pour quelles responsabilités ?
Il ne suffit pas de décréter que des structures de décisions existent pour qu’une direction soit définie et pour que cette direction soit suivie. L’audit de la NASA, en 2013, sur la gouvernance IT, en est une illustration. Les décisions ne sont pas issues de processus rationnels traitant les bonnes informations, du fait de la volonté innée des individus à s’impliquer et à communiquer. Il faut bâtir la transparence et la confiance qui autoriseront les échanges d’information appropriés et les prises de décisions éclairées.
Définir ce qu’englobe la « responsabilité », s’avère une nécessité
Quand on crée une structure de décision, il faut clarifier son champ de responsabilité et qui en a la charge d’arbitrage. Le préalable est toutefois de définir ce que signifie la responsabilité en gouvernance et les moyens nécessaires à l’exercer.
La responsabilité, au sens de la gouvernance, devrait définir les règles selon lesquelles une personne physique ou morale peut répondre aux questions fondamentales de la création de valeur, à n’importe quel moment. Est-ce que ce projet, cet actif, cette activité, dont on a la responsabilité, sont essentiels à l’organisation ? En quoi présentent-ils des bénéfices ou des risques ? En quoi sont-ils utiles pour supporter la stratégie ? Avons-nous retiré tous les bénéfices escomptés pour les parties prenantes ? En quoi devrions-nous revoir notre position si la valeur n’est pas au rendez-vous ?
Pour avoir des éléments de réponse, il faut que l’organisation ait déjà clarifié et partagé sa stratégie.
Pas de responsabilités sans une stratégie comprise de tous et sans confiance
Credit photo Dennis Skley – https://creativecommons.org/licenses/by-nd/2.0/
Toute responsabilité dans l’organisation implique les moyens de comprendre la stratégie afin de pouvoir y adhérer. Dans le déploiement de la stratégie, la responsabilité implique également d’accepter le contrôle sur les décisions prises. Ce contrôle consiste à vérifier de façon collaborative que la direction est toujours la bonne.
Réciproquement, le responsable doit avoir les moyens d’exercer lui-même un contrôle. Pour cela, il doit avoir de l’autorité sur ce qu’il a sous sa responsabilité. Enfin responsable ne veut pas dire seul coupable en cas d’échecs, mais en position de prévenir ces derniers. Ce qu’il pourra faire, s’il y a bien mise en place d’une fonction de remontées de problème efficace.
Toute organisation doit pouvoir déléguer le pouvoir de décision à différents niveaux afin d’avancer efficacement vers son but. Elle doit faire confiance à des structures de gouvernance aux responsabilités définies, pour prendre des décisions appropriées, de manière autonome.
De leur côté, les structures et/ou décideurs responsables doivent avoir confiance en leur capacité à prendre des décisions. Cela suppose qu’’ils en ont les moyens (autorité/pouvoir) et qu’ils connaissent les objectifs stratégiques, communiqués de façon transparente et claire. Qui plus est, tout responsable, individu ou entité, doit avoir confiance en la capacité d’échange et de support de l’ensemble de la structure de gouvernance mise en place.
les fondations de la communication : pouvoir questionner et avoir des réponses
En particulier, l’organisation et les structures de décisions doivent encourager la remontée d’information factuelle, objective. Cette dernière doit porter non seulement sur les avancées vers les objectifs stratégiques, mais aussi sur les problèmes avérés.
Un tel échange d’information nécessite un cercle de communication vertueux, fondé sur une confiance réciproque. Seule la connaissance des priorités stratégiques et des contraintes permettront aux responsables de suggérer des solutions avant escalade. Cependant l’utilité de la remontée ne sera perçue qu’en fonction de la réactivité de l’organisation à prendre les mesures appropriées. En d’autres termes, elle doit être capable de répondre efficacement aux questionnements justifiés sur sa direction.
Sans retour sous forme de décisions suivi d’actions (nouvelles allocations de ressources, arrêt de projets, redirection d’activités, fourniture d’expertise, etc.), le cercle ne fonctionnera pas.
La condition sine qua non d’une structure de gouvernance efficace, c’est que l’information s’échange multi-directionnellement entre les structures de décisions. Le flux d’échange doit remonter et redescendre les structures d’escalade sans perte de sens.
Pour qu’il y ait communication et contribution entre structures de décisions, il faut donc créer la culture organisationnelle qui va encourager ces comportements de contribution et de communication, grâce aux effets conjoints de la transparence et de la confiance. Mettre en place des moyens de partager de façon collaborative et structurée les éléments clés de la décision d’entreprise, en fait partie.Pour qu’on ne puisse abuser du pouvoir, il faut que par la disposition des choses, le pouvoir arrête le pouvoir
Montesquieu
La gouvernance ne commence pas par le contrôle, mais par la stratégie
Les dirigeants devraient commencer par définir une stratégie et réfléchir après aux comportements dont ils ont besoin pour réussir
François Dupuy
Dans un contexte incertain, où les objectifs stratégiques de l’entreprise ne sont pas clairs, quel manager engagerait sa responsabilité sur un projet, sans avoir les moyens de vérifier que la direction choisie est la bonne ? Si la culture organisationnelle présente une certaine aversion au risque et une volonté de se conformer aux processus existants, ceci découragera très fortement tout type d’innovation dans l’usage d’actifs, IT inclus. Rien ne servira de clamer comme valeur d’entreprise « l’innovation » si cette-dernière n’est pas dans la stratégie ou si la gouvernance ne permet pas de l’encourager. « Les valeurs sont le résultat d’une action, pas quelque chose qu’on impose. » selon le sociologue François Dupuy (auteur de « la faillite de la pensée managériale)
Clarifier l’usage de l’IT dans la stratégie, s’interroger sur le déploiement des structures et la culture organisationnels pour encourager le comportement souhaité dans cet usage, ce sont les fondations de la gouvernance. Celles qui donnent la « direction » à suivre à l’entreprise.
Malheureusement, la plupart des organisations ne voient plus la gouvernance que comme la mise en place de mécanismes de contrôles, en particulier de processus prédéfinis dans des référentiels, COBIT y compris. Or considérer la gouvernance uniquement à travers le biais de mécanismes de contrôle à mettre en place, c’est déjà s’assurer d’avoir perdu de vue les deux tiers de ses objectifs et avoir failli à construire ses fondations.
C’est pourquoi nous promouvons avec ©Semsimo, une approche décisionnelle des systèmes d’information, fondée d’abord sur la transparence et la confiance. En particulier sur une représentation formelle et partagée des éléments clés de la décision d’entreprise facilitant le dialogue et l’échange entre acteurs et entités décisionnaires, ainsi que la clarification des objectifs stratégiques.
Sabine Bohnké.
