Ce site utilise des témoins dans le but de vous fournir un service plus personnalisé et plus rapide. En faisant usage de ce site, vous acceptez nos conditions d’utilisation des témoins. Veuillez lire notre déclaration sur l’utilisation des témoins pour obtenir plus de renseignements sur les témoins que nous employons et sur la façon de les supprimer ou de les bloquer.

Favori Courriel Imprimer cette page

Gouvernance des TI

Questions avisées en matière de risques : à l’attention des administrateurs

On n’attend pas des administrateurs qu’ils connaissent intimement chaque composante des systèmes de technologies de l'information (TI) de l'organisation. En revanche, si les TI sont la source d’une brèche de sécurité, par exemple, les parties prenantes exigeront des explications auprès des administrateurs et s’interrogeront sur les mesures qui ont été prises pour atténuer les risques qui y sont relatifs. « En matière de gouvernance des TI, les administrateurs doivent se poser les bonnes questions de gestion et connaître suffisamment les risques liés aux TI et leurs répercussions sur les activités de l'entreprise », déclare Baskaran Rajamani, associé délégué chez Deloitte spécialisé dans l’aide aux clients pour la gestion des risques liés aux TI.

Bien que les risques évoluent constamment, M. Rajamani estime que les administrateurs doivent se préoccuper de trois domaines principaux de gouvernance des TI :

  • évaluer et gérer les risques liés aux TI;
  • aligner les projets de TI sur les priorités d’affaires et retirer de la valeur des investissements faits dans les TI;
  • optimiser les possibilités de réduction des coûts.

Connaître les questions à poser et les réponses à attendre dans chacun de ces domaines peut permettre aux administrateurs d’acquérir une certaine aisance au niveau de la gouvernance des TI de leur organisation.

Évaluer et gérer les risques liés aux TI : un filet de sécurité solide

Citons quelques exemples de risques liés aux TI qui sont assez prévisibles et auxquels sont confrontées la plupart des organisations : failles de sécurité exploitées par des pirates informatiques, viol de propriété intellectuelle par des employés mécontents ou remerciés, équipes réduites menant à une trop grande concentration des responsabilités et à un affaiblissement des contrôles internes, perte ou distorsion de données découlant de changements ou de mises à niveau des systèmes. Même si une évaluation annuelle des risques peut sembler être un filet de sécurité suffisant pour les limiter, les organisations qui réussissent deviennent de plus en plus avisées en matière de risques : on assiste à une intégration de la gestion des risques à leurs stratégies, décisions et opérations, conjuguées à une volonté de maximiser les avantages qui résultent de la gestion des risques.

Même si les TI doivent s’inscrire dans la stratégie globale de gestion des risques de l’organisation, il y a des questions spécifiques à la gouvernance des TI que les administrateurs peuvent poser.

  • Quels sont actuellement les points sensibles en matière de risques de TI qui pourraient avoir des conséquences néfastes sur les activités de l’entreprise?
  • Quelles stratégies fonctionnelles la direction a-t-elle mises en place pour gérer les risques de manière efficace dans la conjoncture actuelle? 
  • Existe-t-il une gouvernance adéquate de la sécurité de l’information, de l’intégrité des données et de la protection des renseignements personnels? 
  • Comment la direction s’assure-t-elle de l’efficacité de ces stratégies? 
  • Existe-t-il un comité directeur des TI qui aide à équilibrer leur contribution à la création de valeur de l’entreprise, tout en gérant les risques et les avantages? 
  • À quand remonte la dernière réévaluation de chaque risque et de l’ordre des priorités lui correspondant? Le plan de gestion des risques est-il à jour?

Aligner les projets de TI sur les priorités d’affaires et retirer de la valeur des investissements faits dans les TI

Étant donné l’évolution constante et rapide des technologies, la plupart des entreprises mènent plusieurs projets de front à ce chapitre : cela est essentiel pour se donner et maintenir un avantage concurrentiel dans un marché qui repose sur la capacité technologique. Que l’organisation cherche à devenir plus compétitive ou qu’elle ait besoin de se conformer à de nouvelles exigences de réglementation, la mise en place de nouveaux systèmes ou fonctionnalités en TI qu’elle effectue éventuellement pour cela implique généralement un investissement en termes de matériel, de logiciels, de personnel et de gestion de projets. Cela explique pourquoi les projets de TI peuvent entraîner les coûts parmi les plus élevés dans l’exploitation d’une entreprise. Cela montre aussi pourquoi il est essentiel de veiller à ce que ces projets génèrent un rendement sur le capital investi. Prenons l’exemple simple de l’avènement, au Canada, des comptes d’épargne libre d’impôt (CELI) en 2008. Lorsque le gouvernement les a présentés comme un incitatif financier pour les Canadiens, certaines banques ont offert ce produit dans les semaines qui ont suivi l’annonce. Cette offre a nécessité l'installation de nouvelles fonctionnalités en TI et, donc, des investissements additionnels, mais a généré de la valeur en attirant les dépôts de consommateurs intéressés. « Cet exemple atteste l'importance de pouvoir rapidement réévaluer les priorités d'investissements en TI et de les réaligner, affirme M. Rajamani. Les priorités d’il y a six mois ne sont pas nécessairement pertinentes à la lumière de faits nouveaux. C’est en établissant des priorités de TI qui concordent avec la stratégie d’affaires globale que ces deux aspects peuvent évoluer ensemble avec le rythme des unités d’affaires. »

Ainsi, pour faire en sorte que les projets de TI correspondent aux priorités découlant du marché ou de la réglementation, les administrateurs peuvent demander au chef de l’information de les informer sur le processus de planification des TI en lui posant les questions suivantes :

  • Existe-t-il une stratégie des TI documentée qui est approuvée par les parties prenantes?
  • Existe-t-il un processus d'examen continu de la stratégie et d’alignement des priorités des TI sur celles des unités d’affaires?
  • Ce processus fonctionne-t-il? Comment pouvez-vous en être sûr? Comment mesurez-vous le rendement du capital investi en TI?
  • Quelles possibilités de partenariat ou d’impartition l’organisation a-t-elle étudiées pour optimiser les coûts et le rendement du capital investi dans les TI?
  • Vos priorités en matière de TI ont-elles changé au cours des derniers mois? Dans l’affirmative ou la négative, pourquoi?
  • L'organisation a-t-elle évalué son état de préparation en vérifiant la capacité d’adaptation des systèmes de TI aux exigences changeantes de présentation de l’information comme les IFRS, la divulgation des émissions de carbone ou la norme XBRL?

Tirer parti des possibilités de réduction des coûts tout en investissant intelligemment dans les TI

Il ne fait aucun doute que les organisations peuvent économiser en misant sur plusieurs éléments : l’automatisation des processus des TI, l’impartition potentielle de leurs services TI, la simplification de leur infrastructure et des applications utilisées afin de diminuer la quantité de serveurs utilisés, ou encore la consolidation des différentes applications pour en limiter le nombre et rendre le tout plus viable. Par ailleurs, qu’en est-il de l’équation TI – écologie? « Les TI vertes ne se limitent pas à éliminer le papier et à encourager les employés à éteindre leurs ordinateurs, explique M. Rajamani. En effet, les organisations investissent de plus en plus dans du matériel informatique écoénergétique de sorte que, par exemple, elles utilisent moins de serveurs qui produisent moins de chaleur et nécessitent moins de refroidissement. Ce type d’investissement à court terme engendrera des économies à long terme. De plus il peut, par le biais de l’implantation d’un système d’information Développement durable et de systèmes de gestion énergétique du bâtiment, venir soutenir des initiatives plus larges de l’organisation.

Pour obtenir un aperçu des mesures de réduction des coûts des TI, les administrateurs peuvent poser quelques questions simples :

  • Comment les dépenses globales de l’organisation en TI se situent-elles par rapport aux barêmes de l’industrie? Un plan a-t-il été développé pour donner suite à ce qui est constaté?
  • Ce plan a-t-il aidé à l’évaluation des possibilités d’automatisation de la surveillance des contrôles et déterminé le rendement du capital investi? 
  • À quels risques l’organisation s’expose-t-elle lorsqu’elle réduit la taille de l’équipe des TI ou lui demande de comprimer ses coûts? Ces risques sont-ils pris en charge?
  • L’organisation appuie-t-elle sans réserve le virage vert des TI?

Amorcer la conversation

Bien entendu, les priorités et les risques liés aux TI varient d’une organisation à l’autre, mais le message est néanmoins valable pour toutes : les administrateurs doivent participer à la conversation sur les TI. « Le volet exploitation de l’entreprise et celui des TI doivent continuellement communiquer et harmoniser leurs activités, explique M. Rajamani. Si ce n’est pas le cas, il revient aux administrateurs d’entamer la conversation. »