Wikipédia

Utilisateur:Nin'/Audit des coûts informatiques

< Utilisateur:Nin'

Sujet d'étude : Audit des coûts informatiques Durée de la présentation : 30 minutes Rapport à rendre (± 10 pages)

Plan adopté (DossierComplet) :

Introduction modifier

Nous n'avons pas voulu concentrer notre recherche sur la mise en oeuvre de l'audit des coûts informatique particulièrement, car ceci a déja été traité dans les dossiers des années précédentes. Nous avons donc axé nos recherches sur la problèmatique suivante :

Le SI supporte en permanence les intérêts stratégiques de l'entreprise. Pourtant son étendu réelle au sein de l'entreprise est mal connue, son efficacité n'est pas mesurée, et le budget qui lui est attribué n'est généralement pas maîtrisé. Comment peut-on parvenir à le rationnaliser totalement, le normaliser, afin de le rendre transparent, compréhensible et comparable avec d'autre SI ?

Contexte de l'audit des coûts informatiques modifier

La mission d'audit née d'une demande de l'entreprise à une autre entité, souvent extérieure à l'entreprise. Ce besoin survient lors :

  • D’une informatisation de tout ou partie de l’entreprise
  • D’un état des lieux des forces et faiblesses du système d’information
  • D’un benchmarking

Cet audit peut concerner plusieurs points du système d’information: sa sécurité, son fonctionnement, l’intégrité des données qu’il gère, ses performances et apports, et bien évidemment ses coûts, tous ses coûts.

Définitions modifier

Les coûts de l'informatique est bien trop souvent résumé aux seuls coûts d’achat, d’installation du système. Ce sont les coûts directs. Mais ils incluent également de nombreux coûts cachés, tels que la taxe professionnelle, l'électricité, la maintenance etc.. Il s'agit des coûts indirects. L'ensemble de ces 2 coûts représentent le coût total de possession (TCO).

Après que le TCO se soit imposé dans les entreprises, il est apparu qu'il était encore insuffisant dans la prise en compte global de ce que coûte réellement la mise en oeuvre de l'informatique, et également ce qu'elle apporte à l'entreprise (apport/cout).


Contexte / problématique modifier

Une demande de plus en plus forte provient des Directions des Systèmes d'Information, soucieuse de rendre leur fonctionnement transparent, gage de la vérité économique de l'entreprise. Normaliser cette transparence économise des ressources aux entreprises, assure aucune omission et permet par la suite de rendre comparable leur fonctionnement.

Mesurer l'efficacité du Système d'Information (apport/coût) modifier

Nombre de dirigeants se demandent si leurs investissements informatiques sont ou vont être rentables, et si le budget alloués à la gestion informatique est maîtrisé. Décomposer le fonctionnement du système d'information permet de connaitre la réelle valeur ajouté d'un processus et qu'elles sont les ressources que celui ci consomme.

Aujourd'hui, les systèmes d'information jouent un rôle vital dans l'entreprises, celà se vérifie par le fait qu'il se retrouve à tous les niveaux : que ce soit niveau de la production, des commandes, de la supervision, de la communication ou bien même dans l'architecture décisionnelle. Il est important pour l'entreprise s'être capable d'évaluer l'apport de son informatique par rapport à ce qu'il coûte, c'est à dire mesurer l'efficacité réelle. Cette tâche est très complexe, puisqu'elle nécessite d'être en mesure de dégager l'apport réel du système d'information en termes de rentrées financières. Il ne font donc pas qu'il soit considéré comme un centre de dépense, mais un outil de valeur ajoutée. L'audit serait donc un outil de contrôle et de maîtrise des coûts informatiques.

Facturer le service du Système d'Information modifier

Cette décomposition permet également de détailler clairement les activités du système d'information, ce qui dans le cas d'un audit financier est essentiel pour assurer la validité des résultats et la crédibilité de l'entreprise.

Les dépenses informatiques ne sont pas toutes évidentes, certaines sont difficiles à déceler. Ces dépenses cachées apparaissent dans deux catégories:

  • les dépenses décentralisées, le coût des postes de travail sont parfois supportés par les budgets des services dans lesquels ils sont utilisés
  • les dépenses partagées, comme les coûts indirects(c.f. Recenser et classifier les coûts) et les coûts de maîtrise d'ouvrage. Par exemple le coût de serveurs mutualisés.

Le suivi actuel des coûts est très insuffisant, même si ces derniers sont parfois traçables, ils devraient tous être supportés par le service informatique, ainsi les consommables(cartouches d'encre et papier d'imprimante) devraient être fournis par le service informatique. Il faut donc centraliser ces dépenses, car, aujoud'hui, elles sont dispersées dans les unités de l'entreprise.

Le service informatique est assimilé à une micro-entreprise au sein de l'entreprise, elle doit donc être en mesure de facturer ses prestations à chaque unité faisant appel à lui. Il délivrerait alors des factures explicites, qui seraient compréhensibles par les clients de ses prestations. Par la même occasion, celà permettrait de réguler les dépenses globales du système d'information.

Manque de normalisation/standard modifier

On peut remarquer que chaque entreprise a ses propres règles de comptabilisation et d'évalution des coûts de son système d'information. Les référentiels utilisés de nos jours pour la gestion des systèmes d'information n'apportent pas de procédure précise pour analyser les coûts, ils ne mettent en oeuvre aucun modèles sur lesquels on pourrait se baser pour une étude sérieuse des coûts. Il faudrait donc normaliser les processus de collecte des coûts informatiques, la définition de ces dernier et les méthodes d'analyse qui permettrait de les maîtriser.

Le standard établi permettrait donc une meilleure communication entre auditeurs et audités, puisque la reconnaissance des méthodes choisies facilite la collaboration entre les différents acteurs.

Plusieurs méthodes et modèle de maîtrise des coûts informatiques existent en interne, mais aucune ne repose sur une norme, un standard qui pourrait s'appliquer à toutes les entreprises, de tous secteurs, de toutes tailles. Plusieurs standards ont vu le jour récemment, tels que COBIT, CMMI ou l'ITIL, mais bien que ceux ci prennent en compte la maîtrise des coûts informatique, ils n'ont pas de méthode spécifique associée.

Pour quoi? Pour qui ? modifier

Plusieurs acteurs de l'entreprise prennent part à l'édification de l'audit, mais ces même acteurs ont des intérets différents sur sa réalisation

Direction Générale modifier

Les directions générales ont pour mission de veiller à ce que toutes les entités de l'entreprise soient rentable, c'est pour celà que les services des systèmes d'information est aujourd'hui sujet à de fortes pressions. Il doit être en mesure de justifier sont apport et défendre ses dépenses.

Budget modifier

Les budgets informatiques sont souvent sous-évalués, par conséquent les directions générales plafonnent les investissements, ce qui leur permet d'éviter la dynamique des dépenses financières. Mais celà a pour effet d'empêcher la DSI de faire son travail, elle ne pourra donc plus améliorer le système si cette action nécessite un apport financier trop important.

Lorsque la direction des systèmes d'information émet une demande d'investissement ou de changement conséquent, elle doit le justifier auprès de la direction générale afin d'obtenir l'accord nécessaire. Maîtriser les coûts jouera donc un rôle très important pour appuyer toute demande de budget.

Benchmarking modifier

Le benchmarking va permettre de comparer en interne ou en externe des secteurs d'activités du point de vu des systèmes d'information.

Les objectifs d'une telle comparaison sont multiples :

  • positionner le système d'information par rapport à des groupes de référence
  • situer les dépenses des centres de production les uns par rapport aux autres
  • comparer l'évolution du système sur le temps
  • s'assurer que le système actuel est optimal, si il existe une meilleure solution, dont le rapport apport/coût est plus important, il faut donc l'analyser

Pour atteindre ces objectif deux points importants sont à prendre en compte :

  • il faut bien identifier les processus afin de les comparer de manière cohérente
  • il est nécessaire de s'assurer que la comparaison se fait au même niveau, par exemple la comparaison de l'informatique de gestion dans deux secteurs d'activités différents doit se faire sans tenir compte de l'informatique de production

Direction du Sytème d'Information modifier

Le but de la direction des systèmes d'information est de diriger pleinement le système comme si elle était un prestataire externe à l'entreprise, c'est à dire qu'elle doit être indépendante des métiers de l'entreprise et supporter tous les coûts de l'informatique et le facturer aux utilisateurs.

Pilotage et prise de décisions modifier

Être capable d'évaluer les actifs et les dépenses du système d'information, est une étape importante et incontournable dans le processus de pilotage. Celà va permettre, d'une part, de prendre les bonnes décisions quant aux investissements et aus changements qui sont a effectuer pour faire évoluer de manière optimale les systèmes. L'étude de ces coûts est, d'autre part, un outil de contrôle qui va permettre de mesurer l'écart des dépenses par rapport aux prévisions. Cette maîtrise va jouer un rôle important pour appuyer le fait que les dépenses informatiques ne sont pas aléatoires, et que le suivi de ces dernières est assuré avec une bonne précision.

Directions métiers modifier

Les systèmes d'information sont générateur de valeur ajoutée pour les différents métiers de l'entreprise. Mais celà implique un coût, mal connu à ce jour, il est très important d'en tenir compte, et d'arriver à évaluer ce coût.

Responsabiliser les utilisateurs modifier

La mise en place d'un standard permettrait au services informatiques de facturer leur prestations, et par la même occasion de mettre en évidence que le système d'information est une source de dépenses financière qu'il est nécessaire de maîtriser. L'effet se ferait alors ressentir au sein des entités opérationnelles. Les directions de ces dernières mettraient alors en place un processus de sensibilisation du personnel, qui permettrait à la fois d'optimiser l'utilisation du système et d'en diminuer les coûts sans pour autant en diminuer l'apport.

Condition nécessaire à la mise en place d'un audit des coûts modifier

Définir un langage commun modifier

Définir un langage commun permet de rendre l'information compréhensible non seulement pour la direction générale mais aussi pour les directions métier qui exigent aujourd'hui plus de transparence concernant les systèmes d'information. Comme ce langage va engendrer des plus fortes communication entre les responsables informatiques et les responsables fonctionnels, il faudra le définir, mesurer son étendue et adopter une terminologie adaptée aux différents acteurs.

Les avantages d’un modèle

Le modèle établit un langage commun et permet une vision claire et partagée des évolutions du processus.

  • Il est construit à partir d’un ensemble de processus et d’activités développés en commun et s’appuyant sur les meilleures pratiques.
  • Il propose un cadre pour définir les actions prioritaires.
  • Il propose un cadre pour réaliser des évaluations fiables et cohérentes.
  • Il permet des comparaisons avec l’extérieur (benchmarking).

Les risques d’un modèle

  • Les modèles sont des simplifications du monde réel.
  • Les modèles ne sont pas complets.
  • L’interprétation et l’adaptation du modèle doivent se faire en fonction des objectifs métiers.
  • L’expertise et le jugement sont nécessaires pour utiliser le modèle avec pertinence. "

Définir le périmètre modifier

Le périmètre sert à délimiter le cadre d'étude afin d'éviter les dérives et oublis éventuels de cette analyse. Les 3 périmètres prédominants :

  • le type d'usage du système d'information (informatique bureautique,scientifique, de production,de gestion)
  • la zone ou l'échelle géographique (région, pays, etc.)

Le périmètre ne doit donc être ni trop restrictif ni trop large, pour que l'étude reste pertinente.

Organisation modifier

L'organisation est l'élément de structure essentiel sur lequel va se baser un audit des coûts informatiques. Elle doit comprendre :

  • l'implication de toutes les directions, car cette démarche est un projet d'entreprise
  • la prise en compte des études déjà réalisées
  • la création de tableaux de bord et d'indicateur, permettant un suivi efficace
  • la définition d'une procédure structurée de recensement des coûts

Recenser et classifier les coûts modifier

Le recensement et la classification des coûts est l'étape la plus importante de l'audit des coûts informatiques puisqu'elle va identifier toute dépense qui pourrait être imputable au système d'information. Parceque cette phase est importante, l'appuyer sur un modèle assure aucune ommision.

Il est d'ailleurs important de ne pas seulement se contenter de recenser les coûts mais également de les interpréter selon leur nature. Par exemple un achat amortissable devra être considéré sur le temps sur lequel il va être amortis.

Limites modifier

Le management par processus modifier

La modélisation des coûts informatiques sur les référentiels de type COBIT ou ITIL implique une modélisation par processus de l'ensemble des activités de l'entreprise et selon une étude réalisée par Les Echos, les plus grands freins au développement du management par les processus sont :

  • La résistance au changement
  • La culture d’entreprise
  • La remise en cause de l’organisation
  • La mise à plat des responsabilités
  • Le manque d’implication de la DG
  • La difficulté d’évaluation a priori de l’impact attendu
  • Un manque de clarification des rôles dans sa mise en œuvre
  • La peur de partager l’expertise

Ces modèles doivent s'imposer dans le monde de l'entreprise afin d'y voir leur efficacité reconnue.

Référentiels existant modifier

Si les référentiels existants pour l'audit des systèmes d'information sont prennent en compte l'ensemble du fonctionnement des entreprises, dont l'aspect financier de l'IT, ils ne contiennent pas de méthodes d'audit des coûts à proprement parler. De nouvelles méthodes suivant leurs recommendations doivent être alors développée. C'est ce que tente de réaliser le CIGREF et L'AFAI en développant l'IGSI, outil complet et "compatible" COBIT, CMMI, ITIL, mais qui doit encore s'imposer dans les entreprise.

Ressources modifier

Afin de mieux situer le contenu de ce rapport, une mise en situation des principaux acteurs et de leurs réalisations dans la modélisation des coûts informatiques semble nécessaire.

Acteurs modifier

Parceque les systèmes à auditer sont de plus complexe chaques jours, des individus concernés (auditeurs, consultants, professionnels de la sécurité,...) ont commencé à se rassembler, afin de trouver des solutions communes à leur problème. Nous avons voulu présenter les principaux acteurs, au niveau mondial et au niveau français, dans la définition, la modélisation et la normalisation et des méthodes d'audit.

ISACA modifier

L'ISACA (Information Systems Audit and Control Association) est une association américaine de recherche sur l'audit des SI, oeuvrant pour faciliter les travaux de ses membres. Pour cela, elle a élaboré et délivre des certifications reconnues telle que la CISA (Certified Information Systems Auditor), publie ses travaux et organise des groupes de reflexions.

ITGI modifier

L'ITGI (IT Governance Institute) a été créé en 1998 par l'ISACA afin de mettre en avant et de standardiser le contrôle et la direction des technologies de l'information de l'entreprise. Cette gestion permet d'assurer l'apport de l'IT à l'entreprise, de l'optimiser et de gérer les risques qu'entraine son utilisation.

L'ITGI met à disposition ses travaux, forum de discussion et bon nombre de ressources afin d'aider les différentes directions de l'entreprise à assurer leurs responsabilités de gestionnaire. L’ITGI a par exemple mis en place la méthode COBIT.

AFAI modifier

L'AFAI, Association Française de l’Audit et du Conseil Informatiques est le chapitre fançais de l'ISACA. Créée en 1982, l'AFAI regroupe aujourd'hui plus de quatre cents membres représentant les auditeurs externes, les consultants et diverses fonctions au sein des entreprises : direction de l'informatique, de l'audit, de la finance et du contrôle de gestion.

L'AFAI a pour objectif de développer les solutions de l'ISACA, en informant les entreprises française et en participant à des projets tels que l'IGSI


CIGREF modifier

Le CIGREF (Club informatique des grandes entreprises françaises) a pour but de promouvoir l'usage des systèmes d'information comme facteur de création de valeur et source d'innovation pour l'entreprise.

Cette association regroupe 120 des plus grandes entreprises utilisatrices des technologies de l’information (assurance, banque, énergie, distribution, industrie, services...). Ces entreprises représentent plus du tiers du budget informatique et télécommunications de l’ensemble de l’Hexagone. Elles regroupent 120 000 professionnels des systèmes d’information et 4 millions d’utilisateurs finaux.

IGSI modifier

leurs travaux : Plan de comptes informatique et Modèle de benchmarking des coûts informatiques

L'Institut de la Gouvernance des Systèmes d'Information est un des premiers instituts nationaux de gouvernance des systèmes d'information affiliés à l'IT Governance Institute.

L’IGSI est une métastructure. Il ne s’agit pas d’un organisme de plus qui vient s’ajouter aux très nombreuses structures qui œuvrent pour le développement des technologies et des systèmes d’information, mais plutôt de la rencontre rationnelle, sobre et très « industrieuse » du souci de l’AFAI et du souci du CIGREF de faire progresser, dans notre pays, la maîtrise des systèmes d’information.

Objectifs de l'Institut :

  • Rationaliser les systèmes d'information et préparer l'entreprise du futur
  • Créer de la valeur et mesurer la création de valeur des SI (systèmes d’information)
  • Proposer un cadre de rencontres et de référence promouvant des SI plus "lisibles"
  • Des normes internationales


site ITGI France

Référentiels modifier

Cobit modifier

Présentation COBIT (Control OBjectives for Information and related Technology) est une méthode d’appui à la gouvernance développée par l’ISACA en 1996 et originellement destinée à l’audit informatique. La mission de CobIT est de rechercher, développer, faire connaître et promouvoir un ensemble d’objectifs de contrôle internationaux en technologies de l’information, qui soient généralement acceptés et fassent autorité pour l’utilisation au jour le jour par les managers et les auditeurs. Elle s’appuie principalement sur un référentiel de processus et des indicateurs clés. La méthode CobIT se veut le modèle de référence de la gouvernance des SI.

Le CobIT liste 4 domaines (planification et organisation, acquisition et mise en place, distribution et support, surveillance), 34 processus (ou objectifs de contrôle généraux) et 302 objectifs de contrôle détaillés.

Référence de COBIT sur le pilotage des coûts

le 6ème processus du domaine Distribution et support : DS6 « Identifier et imputer les coûts » qui a pour objectif d’ « assurer une connaissance exacte des coûts imputables aux services informatiques ». Les objectifs de contrôle de ce processus sont :

  • Charges facturables
  • Procédures d’évaluation des coûts
  • Procédures d’imputation et de refacturation aux utilisateurs

le 5ème processus du domaine Planification et organisation : PO5 « Gérer l’investissement Informatique » qui a pour objectif de « garantir le financement et contrôler le décaissement des ressources financières ». Les objectifs de contrôle de ce processus sont :

  • Budget annuel de fonctionnement de la fonction informatique
  • Surveillance des coûts et des gains
  • Justification des coûts et des gains

CobIT donne une liste de coûts alloués à toutes les ressources informatiques à recenser mais sans les définir précisément :

  • le matériel d’exploitation
  • les périphériques
  • l’utilisation des télécommunications
  • le développement des applications et leur maintenance
  • les frais généraux administratifs
  • les coûts des prestations des fournisseurs externes
  • l’assistance aux utilisateurs (help desk)
  • les installations et leur maintenance
  • les coûts directs/indirects
  • les charges fixes et variables
  • les coûts à fond perdus et discrétionnaires

ITIL modifier

ITIL (IT Infrastructure Library) consiste en une série de livres définissant les processus de gestion des services technologiques (IT service management). ITIL a défini un processus « Gestion financière pour les services IT » qui a pour but d’ « assurer une administration rentable des biens IT et des ressources financières utilisées pour la fourniture des services IT ».

ITIL propose un exemple de catégorisation des coûts informatiques :

  • Matériel (grands systèmes, stockage sur disques, réseaux, PC, portables, serveurs locaux)
  • Logiciel (systèmes d’exploitation, applications, bases de données, outils de contrôle de gestion)
  • Ressources humaines (salaires, primes, coûts de transfert, frais, conseils)
  • Locaux (bureaux, réserve, lieux sécurisés)
  • Services externes (services de sécurité, de récupération en cas de sinistre, d’approvisionnement à l’extérieur)
  • Transfert (dépenses internes provenant d’autres centres de coûts au sein de l’organisation)

ITIL précise que d’autres catégorisations peuvent être choisies ; l’important est que tous les coûts soient identifiés. La catégorisation dans un « Cost Model » doit permettre :

  • d’analyser l’évolution dans le temps de ses propres dépenses
  • de comparer ses coûts avec ceux d’autres organisations (internes ou externes).
  • de servir de simple base pour l’ABC (activity based costing)

ITIL dénomme « Cost Model » ce que nous appelons le « Plan de comptes informatiques ».

CMMI modifier

Initialement élaboré pour pouvoir modéliser le développement logiciel, le CMM (Capability Maturity Model) a été "globalisé" par le SEI (Software Engineering Institute) et se nomme dorénavent CMM Integration. Il englobe les sous-modèles suivant :

  • SE-CMM (pour System Engineering) ;
  • SA-CMM (pour Software Acquisition) ;
  • IPD-CMM (pour Integrated Product Development) ;
  • SS-CMM (pour Supplier Sourcing)
  • SW-CMM (pour Software). Il s'agit du CMM original.
  • People CMM est en train d'être considéré pour le management des ressources humaines;

Les bonnes pratiques préconisées par le modèle sont rassemblées en 24 macro-processus eux-mêmes regroupés en niveaux de maturité au nombre de 5 :

  • Initial : Les facteurs de réussite des projets ne sont pas identifiés, la réussite ne peut donc être répétée.
  • Piloté : Les projets sont pilotés individuellement.
  • Standardisé : Les processus de pilotage des projets sont mis en place au niveau de l'organisation.
  • Quantifié : La réussite des projets est quantifiée. Les causes d'écart peuvent être analysées.
  • Optimisé : La démarche d'optimisation est continue.

Fichier:Niveaux du CMMI.png

Conclusion modifier

La recherche documentaire a été très difficile, car peu de publications papiers existent sur ces normes et méthodes encore très récentes. Les informations présentent sur internet sont encore confuses, car certaines ne sont déja plus à jours car l'objectif du modèle a changé, et d'autres auteurs ne se concentres que sur ce qui concerne leur activité ce qui oriente leur point de vue, leur vocabulaire.

Les publications des organismes concepteurs de ces normes restent les ouvrages de références, et les suivre nous parait aujourd'hui indispensable, car il est sûr que normaliser la gouvernance de nos systèmes informatiques est en ce moment même en train d'etre réalisé. Les référentiels et méthodes qui résultent de cette recherche doivent dorénavent faire leurs preuves et s'imposer dans nos entreprises. Cela ne pourra pas se faire sans l'accord des DSI, encore trop souvent réticent à dévoiler leurs fonctionnement. Mais obtenir ce qui dans certain cas est déja une certification ne pourra que renforcer les performances de l'entreprise dans son ensemble.



Bibliographie modifier

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Utilisateur:Nin%27/Audit_des_coûts_informatiques&oldid=20038099 ».