François Tabourot

J’avais décidé de changer un peu de sujet. J’avais suffisamment développé de points de vue sur la gouvernance d’entreprise dans mes derniers billets. J’avais donc envie de vous parler un peu plus de système d’information, quand l’actualité me fournit les illustrations de mes précédents propos. Encore un billet donc sur la dépendance entre la gestion des risques et les choix de gouvernance d’entreprise.

Dans cette actualité, ce n’est pas tant ‘le talent’ de Jérôme Kerviel ou de Fabrice Tourre à faire trembler l’économie mondiale qui a retenu mon attention, mais bien d’avantage l’effondrement de la plate-forme pétrolière de BP. Cette catastrophe industrielle est d’ailleurs certainement plus parlante pour illustrer la limite de la seule gouvernance financière dans une politique de gestion de risque, que tout autre exemple. Si nous étions dans l’hypothèse de la survenance d’un tel évènement, quel mixte de fonds propres et d’assurance aurait-on simulé ? Nous sommes ici dans le cas typique du risque ‘peu fréquent’ mais ‘très sévère’. Comme pour ‘l’affaire Kerviel’, il y a fort à parier que quelle que soit la rigueur probable de BP dans la modélisation de ses risques, l’ampleur des conséquences ait largement dépassé les capacités des modèles.

La réponse rétrospective à ce qui s’annonce comme une catastrophe écologique majeure, est une fois encore la prévention par les techniques de l’assurance qualité. La future règlementation que l’on évoque conduira à la mise en place de sévères procédures de contrôle sur des instruments de mitigation de risques opérationnels (vannes, tests, essais, …). Ces dispositifs qui visent à réduire la probabilité de survenance et l’ampleur du sinistre, font partie du dispositif d’excellence opérationnelle, qui ne peut être que l’instrument principal de maîtrise des risques.

Dans cet Aparté, et en vous renvoyant à la lecture de mon white paper sur ce thème, je voudrais juste partager avec vous l’idée que , face à son exposition aux risques aucune entreprise n’est assez riche pour faire l’économie d’un sérieux dispositif de mitigation opérationnel. Ne faites pas comme 80% de nos concitoyens, n’attendez pas d’être cambriolé pour vous doter d’un système anti effraction…

Quelques semaines depuis début septembre, durant lesquelles j’ai rencontré de nombreux directeurs des systèmes d’information. J’essaie de faire une synthèse et je suis partagé entre l’idée que leur métier n’a plus rien à voir avec ce qu’il était il y a seulement 10 ans et l’implacable constat que certains fondamentaux sont irrémédiablement les mêmes.

Dans le camp des changements, il y a bien sûr le contexte général de la mondialisation, l’accélération du temps, la révolution technologique et toutes les complexités associées. Au premier rang des fondamentaux, s’affiche la question centrale : comment fournir à l’entreprise des applications qui correspondent à ses besoins ? Question de la première heure, qui revient par la fenêtre à chaque fois qu’on la sort par la porte !

Je regarde, j’analyse et je suis bien obligé de me dire que sur le thème de l’expression de besoins on est toujours dans la même difficulté de dialogue entre l’utilisateur et son assistance à maîtrise d’ouvrage ; le développeur et son assistance à maîtrise d’œuvre et depuis quelques années l’architecte ou l’urbaniste garant de la meilleure réutilisation du legacy.
On invente de nouvelles méthodes ou de nouvelles responsabilités, mais au fond, on ne fait que faire du pousse-pousse en essayant de déporter ou de diluer la responsabilité du sujet récurent : quelqu’un doit dire ce qu’il faut faire, un autre comment le faire  et un troisième s’engager à le faire.

Dans l’intimité de cet aparté, je voudrai partager avec vous la conviction que si l’évolution des méthodes, en particulier de modélisation, accompagne celle de la complexité des projets informatiques, elles ne pourront jamais compenser le talent des professionnels garant de leur réussite. Il y a là un véritable enjeu de reprofessionnalisation de ces métiers, et j’espère que le marché de l’emploi laisse quelques visionnaires dans ce vaste domaine de la maîtrise d’ouvrage, que l’histoire proche reconnaitra sans doute comme une pratique de développement durable de nos grandes organisations. Pour que cette prédiction se réalise, c’est un message qui devra sortir de cet aparté…

Fin des vacances, retour au bureau. Avant de replonger dans les bonnes résolutions pour le dernier tiers de l’année, je fais rapidement le bilan de mes objectifs d’été. J’avais quelques projets d’écriture et d’autres de lecture, objectifs tenus.

Je rentre avec la confirmation que la préoccupation dominante des pratiques de gestion des risques, telles qu’elles sont publiées dans les ouvrages de référence, ou débattues au sein des organisations professionnelles, est incontestablement, la garantie de solvabilité de l’entreprise face à son exposition aux risques (en particulier pour les entreprises financières). Toujours pas le moindre chapitre dédié à la gouvernance de l’excellence opérationnelle !

La méthode d’évaluation du risque et surtout de comptabilisation dans un contexte règlementaire, reste un exercice de spécialiste de la statistique, de la comptabilité et de la règlementation. A ce sujet et si vos congés vous ont été suffisamment profitables pour le moral, vous pouvez lire « la crise et après » de Jacques Attali qui explique simplement certains de ces mécanismes pourtant complexes. Dans cette vision, si les risques résultent de l’exécution des opérations, ils n’ont d’intérêt que pour l’évaluation de leur contrepartie en ‘capital at risk’ issue de leur modélisation mathématique. ‘Cartographie’ et ‘modélisation’ ne sont ici que des faux amis sémantiques qui ne font pas référence à des compétences d’organisateurs. En revanche, ce qu’il convient d’organiser et de doter d’un système d’information dédié, c’est si nécessaire, la collecte des incidents utiles à l’élaboration du modèle, et certainement le dispositif de contrôle qui garantit sa bonne mise en œuvre. Ce sont donc des problèmes bien différents en compétence comme en outillage et certains débats ‘GRC’ gagneraient en clarté en ne faisant pas l’économie de préciser les objectifs entre modélisation mathématique des risques et organisation du contrôle interne.

Cette écrasante vision courante qui ne justifie les pratiques de gestion de risques qu’au titre de la préservation du modèle économique mondial, ne laisse rien à ceux qui dans les opérations, chaque jour travaillent à l’excellence opérationnelle de l’entreprise. Si la domination de la culture du financier continue d’occuper tout l’espace y compris jusqu’au concept de gouvernance, qui réinventera le Taylorisme, le juste à temps, les flux tendus, la mise en ilots, l’agilité des processus…, pour faire que l’entreprise de demain réponde à sa nécessaire mission socio-économique ?

C’est un sujet qui doit sortir de cet Aparté, et je prends la nouvelle bonne résolution de tout faire pour y contribuer.

Au début de l’été 2008, Isabelle Chevret* avait organisé une intervention de Mega dans une table ronde sur le thème de la gouvernance informatique. De la synthèse des échanges sur l’estrade comme dans la salle, je suis revenu avec le sentiment récurrent qu’il est toujours aussi difficile d’être Directeur des Systèmes d’Information (DSI).

Si proposer et faire valider sa politique de gouvernance reste le premier travail d’un DSI dans sa relation avec le comité de Direction, il n’en demeure pas moins important pour lui de définir les justes moyens, en particulier méthodologiques, dont il doit se doter pour sa mise en œuvre. Ma conviction est que pour faire face à la double pression des délais et des budgets qui pèsent sur ce processus de gouvernance, objectiver l’engagement de la DSI avec ses partenaires reste le meilleur moyen de gérer la pression qui accompagne les projets de refonte du SI.

Parmi les différentes sources de pression figure au premier plan la capacité à contractualiser l’expression de besoin au démarrage des grands projets. C’est précisément sur ce thème que les équipes de Mega, consultants et techniciens, ont réfléchi à ce que pourrait apporter les techniques de modélisation dans ce domaine. Ils ont d’abord confirmé, qu’en termes d’équilibre des problèmes à traiter vis-à-vis de l’objectif à atteindre, la formalisation du besoin initial s’avère beaucoup plus sensible que tout autre problème de productivité du développement informatique. Ils ont ensuite attiré mon attention sur l’importance du juste emploi des pratiques de modélisation, et en particulier graphiques, dans ce domaine particulier traditionnellement réservé à la ‘permissivité’ des outils bureautiques. C’est dans ce contexte qu’est née la solution MEGA System BluePrint.

Précisément positionnée entre la nécessité d’en dire suffisamment et la peur d’en raconter trop au titre d’un cahier des charges. C’est un parti pris qui traduit notre conviction, que dans les grands projets, bien exprimer ce qu’il y a à faire est un facteur de productivité supérieur à l’idée de le découvrir et l’affiner dans des itérations de cycle de développement rapide.
Comme toujours, c’est bien évidement le marché qui aura raison, mais j’avoue que je suis impatient d’en débattre avec lui, et si possible cette fois, pas en aparté…

*Isabelle Chevret est Directeur Marketing et Communication

La dernière réunion internationale de la force de vente de Mega a donné lieu à un passionnant débat interne sur le thème de l’architecture d’entreprise. J’ai découvert à l’occasion de celui-ci que selon les pays, les cultures, peut-être aussi selon les niveaux de maturité, cette appellation recouvre parfois une notion de moyens, parfois une idée de projet ou de livrable qui serait porteur de sa propre finalité : faire un projet d’architecture d’entreprise.

J’ai personnellement défendu le point de vue qu’il existe une pratique de l’architecture d’entreprise, vu comme un ensemble de techniques de modélisation de l’entreprise et de ses ressources (en particulier informatiques), et qu’il convient d’en définir le bon usage, au regard de deux des préoccupations majeures des DSI : planifier l’évolution du SI, faire des cahiers des charges pour maitriser les développements relatifs. C’est d’ailleurs selon cette vision, que l’offre Mega 2009 qui arrive très prochainement sur le marché, a elle-même été structurée.

J’ai trouvé ce débat très intéressant, et j’ai donc décidé de le poursuivre avec vous à l’occasion de l’évènement qu’organise à Paris marcusevans le 19 et 20 mars 2009 autour de ce thème.

Si l’on ne se croise pas le 19 mars dans le contexte de mon intervention, nous continuerons quoi qu’il en soit d’en discuter en aparté.