ISACA Journal
Volume 6, 2,016 

Translated Articles 

Indicateurs de performance pour la gouvernance de l’informatique 

Sunil Bakshi, CISA, CGEIT, CISM, CRISC, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP 

Au cours des 30 dernières années, les entreprises ont adopté de nouvelles méthodes pour transformer leurs opérations en utilisant l’informatique et des technologies connexes pour fournir un plus grand niveau de service à la clientèle. Le rythme auquel les entreprises adoptent ces nouvelles méthodes est rapide. Pour gérer la vitesse de cette transformation, la direction s’appuie sur les ressources informatiques et les fournisseurs. Les entreprises dépendent maintenant plus de la technologie et de ressources qualifiées. Le rythme et les dépendances créent une certaine perte de contrôle de la part de l’entreprise. Par conséquent, les entreprises utilisent des indicateurs clés de performance pour mesurer les performances informatiques.

Bien que beaucoup d’entreprises calculent le rendement des capitaux investis sur de nouveaux projets informatiques et parfois tiennent compte du coût total de l’acquisition dans l’analyse de rentabilisation qu’elles soumettent au conseil d’administration pour approbation, seulement 25 pour cents des entreprises effectuent ces calculs après l’achèvement d’un projet.1, 2, 3 Cependant, ces analyses ne sont pas les seuls critères pour l’approbation des projets. Elles ne représentent que seulement deux des nombreux critères dans le processus décisionnel. Un rendement positif sur les capitaux investis ne signifie pas nécessairement que le projet sera approuvé. C’est une décision stratégique qui repose sur les besoins et les attentes des parties prenantes. Par conséquent, les entreprises devraient effectuer une analyse des coûts et bénéfices qui peut nécessiter des indicateurs quantitatifs et qualitatifs.

Les entreprises qui désirent contrôler efficacement les activités informatiques pour qu’elles soient conformes aux objectifs commerciaux utilisent des indicateurs clés de performance. Les indicateurs de performances non seulement aident à surveiller les réalisations par rapport aux objectifs mais également servent à évaluer l’efficacité et l’efficience des processus commerciaux. Les indicateurs aident également à allouer et à gérer les ressources. Les indicateurs de performances améliorent et influencent les décisions qui sont liées aux affaires telles que les budgets, les priorités, les ressources et les activités.

Les indicateurs clés de performance qui sont mis en oeuvre dans tous les domaines de l’entreprise sont des outils essentiels pour la direction. Aujourd’hui, l’utilisation à travers toute l’entreprise de l’informatique et de technologies connexes nécessite d’énormes investissements. Par conséquent, les personnes concernées veulent savoir que les investissements informatiques sont stratégiquement alignés, bien gérés et aident à la réalisation des objectifs communs. Pour répondre aux attentes des personnes concernées, la direction utilise les usages de gouvernance informatique qui sont définis par la norme mondiale de l’Organisation internationale de normalisation (ISO) ISO 38500 et COBIT 5.

Gouvernance informatique et indicateurs

La gouvernance assure que les besoins, les conditions et les options des personnes concernées sont évaluées pour fixer des objectifs équilibrés et convenus pour l’entreprise. La gouvernance informatique veille à ce que la direction utilise la priorisation dans la prise de décision et que les performances et la conformité soient surveillées par rapport aux objectifs convenus. La direction planifie, s’appuie, dirige et surveille pour que les activités soient alignées dans le sens défini par l’organe de gouvernance pour atteindre les objectifs de l’entreprise.4

Les processus de gouvernance informatique sont évalués, dirigés et contrôlés. Les indicateurs constituent un mécanisme de surveillance et permettent de contrôler les réalisations des objectifs de l’entreprise et ceux de l’informatique. Des indicateurs appropriés fournissent à la direction une orientation qui repose sur des objectifs définis et une évaluation des mesures. Les indicateurs aident les entreprises à répondre à des questions utiles telles que:5

  • Est-ce que les performances de l’informatique sont meilleures que l’an dernier ?
  • Qu’est-ce que l’entreprise retire des investissements informatiques ?
  • Comment l’entreprise peut-elle comparer les performances ?
  • Que doit faire l’entreprise en l’absence de paramètres mesurables ? Peut-elle utiliser la gestion des risques, les pertes estimées, les vecteurs d’attaque ou la corrélation ?

Des indicateurs décrivent une qualité et nécessitent une base de référence. Par exemple, 87 % des incidents signalés ont été résolus dans les deux heures. Ces mesures calculent les charges de travail et les activités. Les indicateurs sont utiles pour évaluer la conformité et l’efficacité des processus ainsi que pour mesurer le succès par rapport aux objectifs établis. Enterprises expect positive outcomes from IT and des ressources informatiques ainsi que du personnel qualifié. Pour gérer les performances du département informatique, la direction est intéressée à obtenir des réponses aux questions suivantes dans la première colonne de la figure 1. La deuxième colonne affiche le genre d’indicateurs qui sont nécessaires pour obtenir des réponses à ces questions.6

Élaboration d’indicateurs de performances

Développer des indicateurs de performances suit habituellement le processus :

  1. D’établir des processus critiques pour répondre aux exigences des clients. (Cela permet aux entreprises de développer des indicateurs gérables.)
  2. D’identifier des résultats précis et quantifiables des processus identifiés à l’étape 1.
  3. D’établir des objectifs par rapport auxquels des résultats peuvent être mesurés.

L’élaboration d’indicateurs comprend la définition d’un ensemble équilibré d’objectifs de performances, de mesures, de cibles et de points de repère. Les indicateurs devraient couvrir les activités et les résultats qui sont mesurés à l’aide d’indicateurs antérieurs et postérieurs ainsi que des mesures financières et non financières. Les indicateurs devraient être revus et convenus avec le département informatique, les autres fonctions de l’entreprise et toutes autres personnes concernées.7

Les mesures et les indicateurs reposent sur les informations fournies par les opérations. Lorsque cette information représente la mesure de performance, on les appelle des « indicateurs basés sur des moyens ». Metrics that are designed to monitor the achievement of objectives are called ends-based metrics. Les indicateurs basés sur des fins peuvent inclure :

  • des changements dans l’exposition aux risques (utilisation du rapport du profil des risques) ;
  • la comparaison d’objectifs définis dans la croissance du chiffre d’affaire par rapport aux investissements en informatique.

Les indicateurs basés sur des moyens peuvent inclure :

  • le nombre de vulnérabilités des applications sur un an ;
  • le pourcentage de pannes des guichets automatiques durant les heures ouvrables (doit être inférieur à deux pour cents des heures ouvrables) ;
  • le pourcentage des incidents qui sont résolus dans les délais (y compris l’escalade des incidents).

Les recommandations suivantes doivent être respectées lors du développement et de l’identification des indicateurs de performances:8

  • Normaliser les indicateurs à un paramètre d’attribut commun—pour correctement interpréter les tendances, normalisez les indicateurs à un paramètre commun. Par exemple :
    • Le temps : est-il défini sur une année, en transactions par seconde / minute / heure, en intervalles moyens entre les événements, en temps moyen entre les pannes ?
    • Le coût : est-ce que le coût est mesuré par unités ou par millions ?
  • Comprendre les caractéristiques d’un bon indicateur—un bon indicateur permet des comparaisons and detailed comparisons, leads to correct conclusions, is well understood by everyone and has a quantitative basis. Une bonne mesure permet d’éviter des conclusions erronées. Une bonne mesure est linéaire, fiable, reproductible, facile à utiliser, cohérente et indépendante.
  • Évitez les comparaisons entre d’autres entreprises semblables—chaque entreprise est différente et peut avoir de différents buts et objectifs. L’exception à cette règle est des indicateurs de performances dans une analyse comparative.
    Élaborez des indicateurs qui mettent l’accent sur des spécifiques comparaisons chiffrées des activités opérationnelles documentées qui contribuent aux résultats. Utilisez les routines et les ratios. Évitez les comparaisons générales entre les activités commerciales car elles sont subjectives et qualitatives.
  • Minimisez les comparaisons associées aux coûts—limitez les indicateurs liés aux coûts pour mesurer seulement les avantages (valeur) de l’informatique. Une comparaison dans l’industrie ou entre d’autres entreprises peut ne pas être pertinente. TLe défi auquel les entreprises sont souvent confrontées consiste à quantifier les résultats pour les comparer par rapport aux coûts. Par exemple, un service pour améliorer la satisfaction du client va coûter aux entreprises. Cependant, la quantification de l’amélioration de la satisfaction du client peut être impossible. Dans de tels cas, des indicateurs indirects tels que l’augmentation des ventes peuvent être plus utiles.
    Un autre problème est les coûts communs qui incluent plusieurs opérations ou secteurs d’activité. Ils ne peuvent pas être attribués à une opération ou à une activité spécifique.
  • Concentrez-vous sur les activités de travail et les résultats—durant l’élaboration de mesures et d’indicateurs, l’accent devrait être mis sur les processus et les activités qui fournissent des données tels que le nombre de transactions en espèces sur un guichetautomatique ou le pourcentage de serveurs qui ont été corrigés durant un mois.
  • N’ayez pas trop d’indicateurs—la direction n’est pas nécessairement intéressée à de longs rapports analytiques. Même si une grande quantité de données pertinentes peuvent être collectées, seuls les indicateurs les plus critiques doivent être inclus dans le rapport à la direction.

Quelles sont les bons indicateurs ?

De bons indicateurs satisfont généralement aux critères suivants:9

  • La cohérence—les indicateurs doivent fournir une analyse similaire dans le temps.
  • Des données faciles à recueillir—le coût de la collecte des données pour les indicateurs devrait être faible. Les données doivent être collectées par le biais de processus opérationnels de routine. Cependant, cette collecte de données doit satisfaire à l’exigence d’être contextuellement spécifique. Certains indicateurs de service pour l’informatique peuvent être plus difficiles à récolter et, par conséquent, coûtent plus chers. Par exemple, le nombre de clients qui n’ont pas pu être servis en raison d’un guichet automatique qui est tombé en panne.
  • Exprimez en nombre, en pourcentage ou en unité de mesure—les nombres et les pourcentages sont faciles à comprendre et à comparer. Par conséquent, autant que possible, les mesures doivent être représentées comme un nombre ou un pourcentage.
  • Contextuellement spécifique—les indicateurs doivent mesurer l’atteinte des buts ou des objectifs de l’entreprise. Par conséquent, les mesures doivent représenter un contexte.

Les genres d’indicateurs et de mesures

La nécessité de mesures et d’indicateurs est soulignée par de nombreuses organisations telles que l’Information Technology Infrastructure Library (ITIL), ISACA (COBIT 5) et ISO. Bien que l’ISO prévoit une mesure de la performance, il ne prescrit pas des indicateurs spécifiques. Les méthodes de mesures peuvent être définies par les organisations.

L’ITIL définit trois genres de mesures : des indicateurs technologiques, des indicateurs de processus et des indicateurs de service. Veuillez noter que les indicateurs technologiques et de processus sont également appelés des indicateurs opérationnels.10

Indicateurs technologiques
Les indicateurs technologiques mesurent des aspects spécifiques de l’infrastructure informatique et de l’équipement. Par exemple, l’unité centrale de traitement (CPU), l’utilisation des serveurs, l’espace de stockage utilisé, l’état du réseau (par exemple, la vitesse, l’utilisation de la bande passante) et la disponibilité moyenne (disponibilité de la technologie).

La plupart des indicateurs technologiques fournissent des données sur l’utilisation des systèmes informatiques au directeur de l’informatique ou au gestionnaire du centre des données. Cependant, à moins que cet indicateur soit comparé à un autre, il ne peut pas fournir des informations significatives à la direction. Par exemple, considérez une réponse de 100 millisecondes de la part du réseau (p.ex., un message atteint sa destination en 100 millisecondes). Si la direction s’attend à une réponse de 10 millisecondes de la part du réseau, le temps de réponse nécessite de l’attention. Par contre, si la direction s’attend à une réponse de 300 millisecondes, le temps de réponse est plus que satisfaisant.

Indicateurs de processus
Les indicateurs de processus mesurent des aspects spécifiques d’un processus. Par exemple, le nombre de changements qui sont annulés dans un mois, le temps moyen de réponse aux incidents durant un mois, le pourcentage d’employés qui ont assistés à une tâche dans les temps, le temps moyen pour achever un processus.

Les indicateurs de processus fournissent des informations sur le fonctionnement des processus. Ces indicateurs sont généralement utilisés pour des normes de conformité qui sont associées à des contrôles internes. However, too many process metrics may not serve the purpose of monitoring. Les indicateurs qui sont associés à des processus critiques peuvent être utilisés dans des rapports à la direction.

Indicateurs de service
L’objectif principal de l’ITIL est de fournir un service.

Les indicateurs de service sont des paramètres essentiels de surveillance pour la direction. Ils fournissent une mesure de bout en bout de la performance du service. La définition d’indicateurs de service peut être difficile en raison de la nature intangible des niveaux de service. Les indicateurs de service représentent plus des évaluations sur ce qui est déjà connu au sujet d’un problème. Ils fournissent des résultats approximatifs11. Lorsqu’il est difficile de mesurer des niveaux de service en raison de l’incertitude associée (par exemple, un comportement humain imprévisible), une telle incertitude dans la mesure des niveaux de service peut être réduite à des niveaux indicatifs et peut être introduite dans des mesures approximatives.

Par exemple, des indicateurs de niveau de service peuvent être :

  • Des résultats d’une enquête sur la satisfaction du client indiquant combien le département informatique contribue à la satisfaction des clients.
  • Les coûts de l’exécution d’une transaction (les banques utilisent cette mesure pour mesurer le coût d’une transaction qui est effectuée par l’intermédiaire de différents canaux de services tels que l’Internet, le téléphone mobile, le guichet automatique et la succursale).
  • L’efficacité d’un service qui est basée sur le temps moyen pour compléter un service spécifique. Un service n’est pas seulement un processus. Un service peut être constitué de plusieurs processus.

Différents genres de mesures sont nécessaires pour une compréhension globale de la gestion des services dans toute l’entreprise.

COBIT 5

COBIT 5 est avant tout un cadre de gouvernance informatique. Une gestion efficace de la gouvernance doit être capable de gérer les risques et de répondre aux attentes des personnes en optimisant les ressources. COBIT 5 identifie les sept catalyseurs suivants qui aident à atteindre les objectifs de gouvernance :

  • Les directeurs, les politiques et les cadres
  • Les processus
  • Les structures organisationnelles
  • La culture, l’éthique et le comportement
  • L’information (données)
  • Les services, l’infrastructure et les applications
  • Les gens, l’expertise et les compétences

Les attentes des personnes aident à la direction à arriver à une méthode pour la réalisation des avantages. Cela aide à déterminer les objectifs de l’entreprise. Parce que les entreprises déploient l’informatique, ces objectifs cascadent dans des objectifs liés à l’informatique qui cascadent en objectifs de catalyseurs (voir Figure 2).12

Pour surveiller la réalisation des objectifs, la direction utilise des indicateurs. COBIT 5 identifie deux genres d’indicateurs :

  • Les indicateurs antérieurs sont des activités qui permettent de prédire la réalisation des objectifs. Ces indicateurs ne sont pas mesurables. Par exemple, la mise en oeuvre des meilleurs procédés de l’industrie ou suivre le cycle de vie des ressources (catalyseurs).
  • Les indicateurs postérieurs sont mesurables et aident à mesurer l’atteinte des objectifs. La plupart des mesures sont définies pour des indicateurs postérieurs.

COBIT 5 identifie trois niveaux d’indicateurs : des indicateurs d’objectifs de l’entreprise, des indicateurs d’objectifs informatiques et des indicateurs d’objectifs liés aux processus.13

Objectifs de l’entreprise et échantillon d’indicateurs
COBIT 5 identifie 17 objectifs génériques d’entreprise qui sont basés sur les dimensions d’un tableau de bord équilibré. Ces dimensions touchent la finance, les clients, l’aspect interne de l’entreprise, la formation et la croissance.

Les indicateurs génériques pour les objectifs informatiques et les objectifs des processus sont définis dans la description des processus pour chaque processus COBIT 5. The COBIT 5 process reference model identifies 37 IT-related generic processes. Les indicateurs peuvent être définis en utilisant COBIT 5. Considérez l’objectif d’une entreprise qui est axée sur le service à la clientèle. COBIT 5 suggère d’utiliser les paramètres suivants :

  • Le nombre d’interruptions de service à la clientèle en raison d’incidents liés à l’informatique (fiabilité).
  • Le pourcentage de personnes dans l’entreprise qui sont satisfaites par la prestation des services.
  • Le nombre de plaintes.
  • La tendance des résultats de l’enquête sur la satisfaction des clients.

Selon les services à la clientèle offerts à travers des prestations informatiques, les indicateurs suivants (qui doivent être un sous-ensemble de paramètres définis précédemment) peuvent être envisagés :

  • L’impact sur la satisfaction de la clientèle en raison d’interruptions de service causées par des incidents liés à l’informatique.
  • Le pourcentage de personnes dans l’entreprise qui sont satisfaites par la prestation des services.
  • La réduction ou l’augmentation du nombre de plaintes associées à la non-disponibilité des services informatiques.

Il y a deux objectifs informatiques qui correspondent principalement aux objectifs d’une entreprise axée sur le service à la clientèle.14 Ce sont des objectifs informatiques 01, l’alignement des services informatiques, la stratégie commerciale 07 et les prestations informatiques qui correspondent aux besoins de l’entreprise. Les indicateurs suggérés pour les objectifs informatiques 07 de COBIT 5 sont (pour simplifier, seuls les objectifs informatiques qui correspondent principalement à l’objectif de l’entreprise dans cet exemple ont été considérés) :

  • Le nombre d’interruptions dans les affaires en raison d’incidents informatiques.
  • Le pourcentage de personnes dans l’entreprise qui sont satisfaites par la prestation des services informatiques.
  • Le pourcentage d’utilisateurs satisfaits par la qualité des prestations des services informatiques.

Selon les besoins de l’entreprise, les indicateurs suivants peuvent être considérés :

  • Le nombre d’incidents informatiques qui touchent les services commerciaux.
  • Le pourcentage d’incidents informatiques qui affectent les services commerciaux par rapport au total des incidents informatiques.
  • Le nombre de plaintes liées à la prestation des services en raison de problèmes informatiques.

COBIT 5 suggère des indicateurs pour chaque processus dans le modèle de référence des processus. La prochaine étape est d’identifier les processus qui sont associés aux objectifs informatiques 07. Des prestations de services informatiques qui correspondent aux exigences de l’entreprise et la sélection d’indicateurs pour les processus. Les processus suivants dépendent des objectifs informatiques :

EDM01, EDM02, EDM05, APO02, APO08, APO09, APO10, APO11, BAI02, BAI03, BAI04, BAI06, DSS01, DSS02, DSS03, DSS04, DSS06 et MEA01.15

Conclusion

L’élaboration, la mise en oeuvre et le suivi des indicateurs de performances sont la clé pour la mise en oeuvre de mécanismes de suivi pour les buts et les objectifs définis par les processus de gouvernance informatique. Les indicateurs de mesure de performances ne doivent pas provenir d’entreprises similaires. Chaque entreprise a d’uniques objectifs et, par conséquent, d’uniques indicateurs. Cette spécificité est due à plusieurs raisons qui incluent la stratégie et les objectifs de l’entreprise, la culture de l’entreprise, les différences dans les facteurs de risque, les résultats de l’évaluation des risques, les conditions géopolitiques et économiques.

Les entreprises peuvent utiliser des indicateurs génériques qui proviennent de normes mondiales et d’infrastructures telles que l’ITIL et COBIT 5 pour définir des indicateurs spécifiques qui doivent correspondre aux objectifs de l’entreprise.

Notes de bas de page

1 Jeffery, M.; “Return on Investment Analysis for E-business Projects,” Northwestern University, Evanston, Illinois, USA, www.kellogg.northwestern.edu/faculty/jeffery/htm/publication/roiforitprojects.pdf
2 Myers, R.; “Measuring the Business Benefit of IT,” CFO.com, 20 October 2004, http://ww2.cfo.com/strategy/2004/10/measuring-the-business-benefit-of-it/
3 Bidgoli, H.; The Internet Encyclopedia, Volume 3, John Wiley & Sons, USA, April 2004
4 ISACA, COBIT 5, USA, 2012, www.isaca.org/cobit/pages/default.aspx
5 Jaquith, A.; Security Metrics: Replacing Fear, Uncertainty, and Doubt, Addison-Wesley, USA, 2007
6 Op cit, ISACA, COBIT 5
7 OpsDog, Inc., “What are KPIs & Benchmarks?” 2016, https://opsdog.com/tools/kpis-and-benchmarks
8 Ibid.
9 Op cit, Jaquith
10 Scarborough, M.; “Three Types of Metrics Defined by ITIL,” Global Knowledge Training LLC, 12 December 2013, http://blog.globalknowledge.com/PROFESSIONAL-DEVELOPMENT/ITIL/THREE-TYPES-OF-METRICS-DEFINED-BY-ITIL/
11 Hubbard, D.; How to Measure Anything: Finding the Value of Intangibles in Business, John Willey & Sons, USA, 2007
12 ISACA, COBIT 5: Enabling Processes, USA, 2012, www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Processes-product-page.aspx
13 Ibid.
14 Ibid.
15 Ibid.

Sunil Bakshi, CISA, CGEIT, CISM, CRISC, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Il a travaillé dans l’informatique, la gouvernance, la sécurité des informations et la gestion des risques. Il possède 40 ans d’expériences dans divers postes dans différentes industries. Il est actuellement un consultant à son propre compte et un professeur invité à l’Institut national de gestion bancaire en Inde.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.