Chapitre 3 - Le Contrôle Des Systèmes D'information
Chapitre 3 - Le Contrôle Des Systèmes D'information
Chapitre 3 - Le Contrôle Des Systèmes D'information
Objet abstrait complexe aux limites incertaines, le SI pose des problèmes de contrôle
spécifiques qui seront abordés dans le chapitre 3. Parallèlement à ces préoccupations d'ordre
général, le recours accru aux technologies de l'information (en particulier comme support direct
des transactions marchandes) a confirmé l'importance cruciale d'un impératif de
fonctionnement des systèmes d'information: celui de la sécurité. Ce problème spécifique du
contrôle des SI sera l'objet dans le chapitre 4.
Chapitre 3
Le contrôle des systèmes d'information
I. Le contrôle des systèmes d'information
Le développement tardif et limité des pratiques de contrôle des systèmes d'information a été
justifié, comme nous l'avons indiqué ci-avant, par le souci de ne pas « brider» les capacités
d'innovation des utilisateurs. Au-delà de cette justification, plus ou moins fondée, ce faible
développement s'explique également par des difficultés propres à l'objet du contrôle : le SI. Ces
difficultés concernent d'une part ce que l'on peut appeler la problématique générale du contrôle
(pourquoi et comment contrôler un SI ?) et, d'autre part, le problème spécifique de la mesure
du succès d'un SI, de sa performance propre.
e- Diagnostic stratégique
Dans le cadre général de la planification des SI, dans la perspective de l'alignement
stratégique, l’entreprise souhaite évaluer l'état actuel de son portefeuille d'applications pour
mieux définir les bases de son schéma directeur.
Ces quelques exemples sont très révélateurs du caractère hétérogène des contextes
dévaluation, donc des objectifs de contrôle. La préoccupation immédiate de l'utilisateur
principal se révèle à travers la perspective dominante :
- technique: très axée sur l'outil (ordinateur, réseau..) dont on surveille le fonctionnement
(ainsi, le directeur informatique va suivre l'évolution des temps de réponse, des débits, des taux
de panne...);
- économique: elle s'exprime en termes de coûts (plus ou moins directement rattachés à
l’utilisation d'outils), d'efficience (résultats obtenus par rapport aux moyens engagés),
d'efficacité (résultats évalués par rapport à des objectifs) ;
- organisationnelle: elle s'exprime par des évaluations en termes de satisfaction exprimée
par des utilisateurs (exemple ci-avant) ou en termes de performance de l’organisation (par
exemple délai moyen d’une prise de décision).
À la diversité de ces préoccupations va donc correspondre une grande diversité des objets de
contrôle, abordés selon des perspectives différenciées.
Ces différents objets du contrôle vont être abordés selon des perspectives différentes en
fonction des objectifs privilégiés par l'action de contrôle, en particulier:
- perspective d'efficience où l'on rapproche les résultats des moyens utilisés; on
trouvera ainsi des mesures simples de productivité directe en nature (nombre de lignes
imprimées. nombre de transactions supportées... rapportés au montant investi) ou de
productivité en valeur; rapport d'un résultat mesuré en valeur monétaire aux ressources
consommées (chiffre d'affaires réalisé par terminal de vente par exemple) ou de coûts;
COMMENT
CONTROLER ?
+
EVALUATION PERIODIQUE
AUDITS A VOCATION
SPECIFIQUE
- planification forte et faible contrôle a posteriori : les entreprises de cette catégorie évaluent
soigneusement a priori, l'efficacité au niveau du schéma directeur et des études préalables. En
revanche, très peu de suivi est organisé pour vérifier si les objectifs ont été atteints et dans
quelles conditions ils l'ont été;
- contrôle fort à dominante technique : le contrôle du « service informatique » est obtenu grâce
à des indicateurs techniques (volume d’activité, incidents...) et quelques indicateurs de coûts
(coût global, répartition des grandes masses de coût...) ;
- contrôle de gestion intégré aux procédures générales du contrôle: on applique aux systèmes
d'information la même démarche de contrôle que celle appliquée aux autres activités de
l'entreprise : élaboration des plans d'action, préparation de budgets détaillés par nature de
charges et par destination, enregistrement systématique des données réelles, calcul et analyse
des écarts.
Cette dernière catégorie correspond à l'institutionnalisation complète des instruments de
planification et de contrôle dans des procédures systématiques. Seules les entreprises ayant une
forte culture du contrôle formel pratiquent cette formule (on notera que des entreprises ayant
un fort contrôle institutionnel n'ont pas encore étendu cette démarche au domaine des systèmes
d'information). Cela s'explique soit par la volonté expresse de favoriser au mieux la diffusion
des technologies de l’information, soit par de réelles difficultés de mesure, comme nous le
montrerons ci-après.
- Première solution: centre de coûts non répartis. Les coûts d'infrastructure sont considérés
comme des « charges de structure générales » dont la responsabilité incombe à la direction
générale. Cette solution présente plusieurs avantages : simplicité (pas de calcul de répartition),
motivation forte des utilisateurs à l'utilisation de ressources dont ils ne supportent pas le coût.
En revanche, la formule ne garantit ni l'efficience ni l'efficacité dans l'utilisation (possibilités
de gaspillage).
- Deuxième solution: centre de coût avec répartition. Les dépenses d'infrastructure (y compris
les dépenses relatives aux prestations d'études et de conseils des spécialistes internes…) font
l'objet d'une facturation interne, donc d'une répartition entre les différents utilisateurs.
Cette solution offre l'avantage incontestable de responsabiliser les différents utilisateurs dans
leur demande: elle est donc un facteur important de l’efficacité. La politique de refacturation
oblige tes directions informatiques à justifier leurs investissements et les utilisateurs à réfléchir
à leurs véritables besoins.
Cependant, elle est relativement compliquée à mettre en œuvre, car le système de coût à
appliquer doit être compréhensible et contrôlable par les utilisateurs et relativement stable dans
le temps. Selon les cas, on utilise des facturations au coût total marginal, à un coût standard
(plus ou moins complet).
- Troisième solution: centre de profit et contrôle par le marché. Le service SI, en charge de
l’infrastructure, fonctionne comme un centre de profit devant couvrir ses dépenses par la
facturation de ses services aux usagers et est soumis à la concurrence des prestataires extérieurs
à l'entreprise. La facturation est donc « au prix du marché » après négociation avec le service
utilisateur. Dans cette logique, le service SI peut se révéler non compétitif et exposé à réduire
ses moyens, voire à disparaître, victime d'une décision d'externalisation.
L'examen de ces deux questions spécifiques (formes du contrôle institutionnalisé, gestion des
ressources communes) montre qu'il n'y a pas de solution universelle, mais des solutions
contingentes. L'état actuel du développement des TI dans l'entreprise, le degré de maturité des
utilisateurs, la répartition géographique des moyens, l'organisation générale du contrôle de
gestion... sont quelques-uns des facteurs à prendre en compte lors de l'organisation des
modalités de contrôle des SI.
La distinction la plus importante conduit à définir d'une part l'audit opérationnel et, d'autre part,
l'audit financier: Dans la perspective de l'audit opérationnel, le contrôle est orienté à titre
principal vers l'efficacité et l'efficience des systèmes d'information ; dans la perspective de
l'audit financier, le contrôle est orienté vers la validité des informations et donc, très
directement, vers la qualité et la sécurité dans les systèmes d'information.
La figure 3 résume les principaux aspects abordés au cours des deux types de missions.
On notera que l'audit (financier» des SI se révèle d'intérêt majeur pour la qualité de l'information
comptable (et donc pour le processus de certification des comptes). La quasi-totalité des
informations comptables est en effet issue d'applications informatiques dont il faut
impérativement contrôler la fiabilité des résultats.
Figure 3. Notion d’audit des systèmes d’information