Les services informatiques d'une entreprise constituent un système sous contraintes, Ils ont des fonctions précises au sein d'un tout, au service d'objectifs commun; ils sont constitués d'éléments en interactions entre eux et avec l'extérieur, et obéissent à des règles de fonctionnement de l'entreprise ainsi quà des mécanismes propres de fonctionnement interne,
Le système des services informatiques est fréquemment amené à se réorganiser, à s'adapter pour faire face aux aux nouvelles sollicitations, aux nouveaux rythmes, aux nouvelles contraintes en général. Ceci va généralement dans le sens de plus de performances, plus de fonctionnalités, une plus grande adéquation au besoin .. , Pour moins cher.
Les contraintes externes et interne obligent donc parfois les managers à adopter et mettre en œuvre des démarches qualité, accompagnées ou non de transformations profondes de l'organisation et de la culture. Ces changements peuvent être délicats gérer de par leur complexité, et de par la résistance naturelle au changemenent de certains acteurs du système. En effet les démarches qualités et processus génèrent généralement des organisations transversales au sein desquelles la fonction hiérarchique est moins importante en apparence, et où le partage de la connaissance est primordial. Les acteurs qui détiennent leur pouvoir uniquement par leur accès privilégié à certaines informations peuvent se trouver mis en difficulté et s'opposer à ces changements. Les contraintes qui pèsent sur l'entreprise deviennent nécessité de mutation pour l'entreprise, son organisation et ses systèmes d'information,
On peut distinguer parmi ce système de contraintes, des contraintes internes et des contraintes externes :
• Contraintes internes:
Pression sur les coûts par les clients internes ou la Direction Financière: décision de mise en place d'un plan de rigue ur économique Plus grande exigence de valeur ajoutée de la part des clients (more value for your money, comme disent les anglo-saxons) Restructuration majeure de grands processus de l'entreprise (suite à la mise en place d'un ERP par exemple), ré-organisation majeure
• Contraintes externes :
La pression concurentielle : la pression de la concurrence oblige la société à réagir et pousse l'entreprise à adapter son SI (Système d'Information) et son organisation de manière à ce que le SI reste, ou devienne un avantage concurrentiel. La globalisation des échanges, l'évolution du cadre législatif, et politico-économique, donnent naissance à de nouveaux principes de gouvernance: renforcement du contrôle interne, rappel de la responsabilité des dirigeants viv-à-vis des actionnaires et de la société civile, développement de fonctionnements contractuels à l'intérieur de l'entreprise.
La pression concurentielle : la pression de la concurrence oblige la société à réagir et pousse l'entreprise à adapter son SI (Système d'Information) et son organisation de manière à ce que le SI reste, ou devienne un avantage concurrentiel. La globalisation des échanges, l'évolution du cadre législatif, et politico-économique, donnent naissance à de nouveaux principes de gouvernance: renforcement du contrôle interne, rappel de la responsabilité des dirigeants viv-à-vis des actionnaires et de la société civile, développement de fonctionnements contractuels à l'intérieur de l'entreprise.
Les évolutions du droit du travail et la pression des partenaires sociaux jouent également un rôle dans la mutation des organisations informatiques: la part plus importante de la sous¬traitance, et par ricochet la vigilance des instances de représentations du personnel obligent à plus de rigueur et de vigilance: non-ingérance, définition claire des prestations vs régie, séparation des fonctions, etc
La gestion des prestations de services externalisées, qui occupe des parts de marché encore faibles en France (15% contre 30% pour nos voisins éuropéens) et est appelée à croître, apporte son lôt de changements culturels dans les organisations.
Les contraintes internes
Au premier rang des contraintes internes vient évidemment le leitmotiv de la maîtrise des coûts, ou des plans d'économie de tous poils, quelle que soit la forme qu'ils prennent. Les plans d'économie sont un des thèmes récurrents des organisations, et une organisation informatique doit aujourd'hui être capable de changer de taille et/ou de rythme très rapidement.
1.La maÎtrise des coûts
L'informatique de gestion, qui pemet d'assurer et d'industrialiser principalement les processus administratifs, est surtout perçue comme un centre de coûts par les dirigeants, L'apparition de logiciels intégrés comme SAP, qui entraînent des réorganisations et permettent des économies de postes ont contribué à redresser cette image, mais ce que le
management attend des services informatiques (pour la partie Service Management: poste de travail, support et logistique), c'est qu'ils coûtent moins cher. L'informatique est le sixième poste de frais généraux dans les entreprises industriels, avec 1% du chiffre d'affaires, derrière la maintenance (2.3%), la recherche et développement (1.8%), les infrastructures et locaux, l'administration et le marketing (entre 1.1 % et 1.4%). Les dépenses informatiques sont revues au plus juste. Les projets stratégiques sont maintenus (sécurité, relations clients, formation, ...) mais tous les autres postes sont diminués." [SEGOS03]
2. Les exigences des clients
Les clients de l'outil informatique ont" pris le pouvoir" en matière de décisions concernant leur métier. D'aucun diront que l'informatique est revenue à sa juste place. Le fait est que dans les grandes entreprises, on essaye de concilier et développer des axes en apparences opposés: d'un côté les pratiques de bonne gouvernance tendent à restituer aux directions utilisatrices une grande part du pouvoir de décision, et d'autre part améliorer le couplage avec la direction générale car les systèmes d'information ont une importance stratégique qui continue de croître. Cette opposition n'est qu'apparente si la séparation des rôles entre la maîtrise d'ouvrage et la maîtrise d'œuvre est bien comprise et si le couplage avec la direction générale ne vient pas infléchir les besoins exprimés par le business. La mise en place de systèmes de restitutions des performances vis-à-vis de la maîtrise d'ouvrage, qui sont de plus en plus transparents et clairs pour justifier les refacturations internes, provoque un nouvel appétit des clients pour améliorer le service, ou le payer moins cher. Il y a donc une surenchère lié au fait que la gestion financière de l'informatique, de même que ces contrôles internes, sont plus détaillés et transparents. Le niveau de maîtrise de l'utilisateur vis-à-vis de son outil informatique a également rendu le client final plus exigeant, car ce dernier saît bien ce qu'il est en droit d'attendre d'un ordinateur proche de celui qu'il utilise à son domicile. Ce phénomène de société influence les attentes d'une manière complètement indirecte et informelle, mais bien réelle. Au niveau stratégique, la direction informatique doit également prouover en permanence qu'elle a un véritable rôle économique à jouer, en faisant de l'informatique un atout concurentiel dont les coûts sont maîtrisés, et dont les niveaux de services sont maîtrisés. On attend d'un cadre informatique qu'il soit capable d'adapter la qualité des services qu'il fournit, en fonction des impératifs et des priorités données par les métiers. C'est cette faculté à s'adapter aux contraintes spécifiques des clients internes qui fait la valeur ajoutée des équipes internes.
Les contraintes externes
1. La pression concurrentielle : nous ne nous étendrons pas outre mesure sur cet aspect car il est universel et évident dans tous les métiers et sous toutes les lattitudes. Elle oblige les DSI à être toujours plus compétitives quel que soit le secteur d'activité de l'enrtreprise
2. L'émergence des impératifs de gouvernance
D'où vient le terme "gouvernance informatique" ? Le terme "gouvernance" était utilisé, il ya déjà quelques années, pour désigner la manière dont un gouvernement gérait les ressources économiques et sociales d'un pays en vue de le développer. Etendu ensuite au monde des dirigeants d'entreprises, il est aujourd'hui couramment cité pour la fonction informatique. La gouvernance IT relève de la responsabilité du comité de direction et du management exécutif; énonce le rapport publié par l'organisme américain IT Governance Institute. Elle fait partie intégrante de la gouvernance d'entreprise, et consiste, pour la direction informatique, à mener et à organiser les entités et les processus dans la lignée de la stratégie et des objectifs de l'entreprise dans le but de créer de la valeur. La gouvernance informatique désigne ainsi l'ensemble des méthodes, des outils et des bonnes pratiques que les DSI doivent mettre en œuvre pour améliorer leurs résultats, tout en optimisant leur budget. .. et indirectement valoriser la fonction informatique auprès de la DG et des autres fonctions. Car il ne faut pas oublier que la direction informatique fait partie des premiers postes de coûts (de 10 à 40% du budget de fonctionnement de l'entreprise), qu'elle est parfois encore considérée comme un mal nécessaire, et qu'elle doit toujours justifier ses dépenses et sa place dans la stratégie de l'entreprise. Pourtant il apparaît de plus en plus et de manière évidente, qu'une gouvernance informatique bien menée est source de création de valeur pour l'entreprise et contribue à son succès.
Evaluation du reporting financier : L'évaluation des systèmes informatiques liés au reporting financier fait partie intégrante du processus d'évaluation des contrôles par la Direction. En effet, de par leur utilisation quotidienne dans le traitement des transactions, dans la production des données servant de base au processus de décision de la Direction ainsi qu'à la production du reporting financier, il est indispensable de garantir l'existence de systèmes d'informations intègres fournissant des données correctes qui reflètent l'ensemble de l'activité de la société. Dès lors se pose la question de la manière dont la Direction de la société va évaluer le risque lié à l'utilisation des SI et des contrôles réalisés par la DSI. L'évaluation de son SI peut se faire à deux niveaux: d'une part au niveau de l'entité, en documentant l'environnement de contrôle (ex : structure de l'organisation IT, degré de compétence du personnel IT, procédures, etc) et l'évaluation des risques liés au SI (ex: Business Conti nuit y Planning/Disaster Recovery Plan, niveau de communication entre le département IT et les autres départements, sécurité physique des données, etc) ; d'autre part au niveau des transactions et des applications, en documentant les flux de transactions automatiques, les sources potentielles d'erreurs informatiques qui pourraient avoir un impact matériel sur les états financiers, ainsi que les contrôles réalisés par la DSI. Selon les premiers résultats des travaux réalisés par certaines sociétés concernées, des problématiques informatiques clés sont apparues telles que la gestion de l'autorisation et des accès des utilisateurs au SI et aux applicatifs, la séparation réelle des tâches au sein du département IT ainsi que le niveau réel de documentation des contrôles informatiques et des sources d'erreurs liées à l'utilisation du SI Dans un contexte de changements réguliers, le recours à des solutions informatiques de support de documentation des flux de transactions et des contrôles IT et d' "Entreprise Resource Planning " devient une nécessité incontournable si la société veut assurer la mise à jour continue et la transparence des systèmes de contrôle interne, et ce dans un souci d'efficacité opérationnelle.
La Loi Sarbanes Oxley :
Votée par le Congrès en juillet 2002 et ratifiée par le Président Bush le 30 du même mois suite aux scandales des affaires Enron et Worldcom, la loi Sarbanes-Oxley implique que les Présidents des entreprises cotées aux Etats-Unis certifient leurs comptes auprès de la Securities and Exchanges Commission (SEC) l'organisme de régulation des marchés financiers US
Guidée par trois grands principes soit l'exactitude et l'accessibilité de l'information, la responsabilité des gestionnaires et l'indépendance des vérificateurs/auditeurs, la loi vise à augmenter la responsabilité corporative et à mieux protéger les investisseurs pour rétablir leur confiance dans le marché.
• Historique Créée en vertu du Securities Exchange Act (1934), un an après le Securities Exchange Act (1933), la SEC a pour mandat principal de voir à ce que les entreprises agissent de manière responsable vis-à-vis des actionnaires, notamment en leur donnant accès à des informations financières et comptables fiables et transparentes. Hormis quelques mesures complémentaires, il n'y a pas eu, depuis les années 30, de changements majeurs en matière de gouvernance corporative aux Etats-Unis. En ce sens, la Loi Sarbanes-Oxley constitue la plus grande réforme depuis la crise des années 30. Le débat public fut amorcé quelque temps après les attaques terroristes de septembre 2001 avec l'affaire Enron, puis le scandale de Worldcom (le plus grand scandale de l'histoire américaine avec un montant de fraudes supérieur à 10 milliards de dollars). Ce n'est que suite au dévoilement des pratiques frauduleuses de cette entreprise et devant ce qui prenait l'allure d'une crise de confiance majeure, que la classe politique a dû se résoudre à agir. les systèmes d'information sont impliqués à double titre par Sarbanes-Oxley:
-dans l'utilisation de l'informatique comme outil de gestion et de contrôle financier
-dans l'obligation qui instituée (et c'est plus nouveau) d'assurer la sécurité de ce même système informatique.
• Contenu et conséquences Les implications de la conformité à la loi Sarbanes Oxley sont nombreuses, et la gouvernance IT est aussi impactée par les nouvelles contraintes. Une nouvelle exigence de traçabilité des coûts des services IT s'impose. Avec sa structure en processus définis et aux principes clairs de gestion budgétaire de " IT financial management ", ITIL fournit le niveau de lisibilité de l'organisation et des comptes recquis pour être compatible avec le Sarbanes Oxley Act. L'informatique est essentiellement concernée par le standard W2 du PCAOB (Public Company Accounting Oversight Board), intitulé "An Audit of Internai Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements. ". Ce standard défini des structures de contrôles et des contraintes du système comptable, et certaines de ses contraintes ont été étendues à l'ensemble de l'organisation qui gère le système d'information. Le standard N°2 rappelle entre autre que: "En raison de l'influence de l'environnement de contrôle sur la fiabilité du reporting financier, le jugement préliminaire de l'auditeur sur les forces et faiblesse de l'organisation influencera la nature, l'ampleur des essais et le niveau de détail des informations demandées. Des faiblesses détectées dans l'environnement de contrôle peuvent conduire l'auditeur à étendre son contrôle à des niveaux de détail qu'il n'aurait pas demandé sinon," Les exigences de la loi peuvent se résumer à quelques principes clé:
• garantir une présentation adéquate des rapports financiers,
• fournir des processus d'alerte,
• exiger la certification personnelle des rapports financiers par le CEO (PDG) et le CFO (Directeur Financier)
• renforcer les contrôles liés au processus de reporting financier. Concernant ce dernier point, la section 404 qui porte sur les contrôles internes, revêt la plus grande importance en matière d'identité et d'accès. En effet, cette section invite la commission américaine des opérations en bourse (SEC) à développer et publier des règles, exigeant des entreprises concernées qu'elles intègrent dans le dossier annuel déposé auprès de la SEC un rapport distinct comportant la certification de la Direction quant à l'efficacité du contrôle interne exercé sur le reporting financier en plus du rapport financier annue Les quatre domaines IT qui font l'objet de directives du PCAOB (version mars 2004) sont
• L'acquisition, le développement et la maintenance des applications
• L'accès aux programmes et données
• Les" opérations machine"
• La gestion des changements Nous ne nous attarderons pas sur l'alinéa 802, qui définit les sanctions pénales auquelles les dirigeants sont personnellement exposés si leur compagnie ne fournit pas des comptes justes. Les alinéas impactant le plus le monde IT sont: les 302, 404 et 409 :
Alinéa 302 : certification des rapports financiers Les présidents directeurs généraux et les directeurs financiers, ainsi que les cabinets d'expertise comptable chargés de la validation des comptes, doivent désormais certifier l'exactitude des rapports financiers. Des sanctions pénales sont prévues pour les présidents directeurs généraux et/ou directeurs financiers qui produiraient, en parfaite connaissance de cause, des rapports inexacts. Or, l'information financière repose très largement sur les systèmes informatiques. Face au risque de sanctions pénales, mais aussi afin de favoriser l'adoption de bonnes pratiques comptables dans toute l'entreprise, les directeurs des services d'information seront amenés à signer un engagement interne garantissant la sécurité et la fiabilité des systèmes.
Alinéa 404 : certification des contrôles internes. Cet alinéa prévoit la mise en oeuvre et le suivi d'un contrôle interne approprié de l'information financière de l'entreprise, attesté par son expert-comptable. L'alinéa 302 exige l'exhaustivité et l'exactitude des documents financiers ; l'alinéa 404 requiert du processus utilisé pour la génération des documents qu'il soit précis, reproductible et contrôlé.
Alinéa 409 : rapport d'événement matériel: Les sociétés cotées en bourse doivent publier toute information relative aux changements matériels affectant leur situation financière ou opérationnelle, dans les meilleurs délais. Cet alinéa a pour objectif de protéger les investisseurs d'une information tardive sur des événements matériels susceptibles d'avoir un impact sur la performance financière de l'entreprise. Dans cette perspective, les systèmes informatiques sur lesquels repose la gestion opérationnelle et financière sont essentiels pour détecter et traiter les événements matériels. Le Sarbanes Oxley Act, sans entrer dans les détails d'implémentation, exige un fonctionnement en processus définis et une véritable approche qaulité et contrôle dans ces domaines. L'adoption d'ITIL pour le périmètre de la gestion des services permet d'être conforme à la loi. Il est intéressant de noter, eû égard aux risques liés à la gestion des système d'information, que le cabinet Deloitte & Touche dans son livre blance de préparation à la conformité Sarbanes-Oxley, place le manque de contrôle sur les SI et leur organisation en cinquième position sur les 10 risques majeurs qu'il a identifié [Deloitte&Touche 2004]
Références bibliographiques :
[SEGOS 03] : CEGOS, Evolution des frais généraux des entreprises industrielles françaises, février 2003.
[Deloitte&Touche 2004] : livre blanc de préparation à la conformité Sarbanes-Oxley
Aucun commentaire:
Enregistrer un commentaire