Pratique de la gestion des services: gouvernance et ITIL®

Dans le cadre de mes cours ITIL® Foundation, la gouvernance est toujours à l’ordre du jour. Cette discussion fait souvent figure de corps étranger dans un contexte de services et de processus sinon cohérent. Le caractère abstrait du sujet le rend donc aussi assez difficile à mettre en œuvre. Malgré tout, une bonne gouvernance est indispensable pour le succès des initiatives en matière de gestion des services! Dans cet article, j’essaie de clarifier un peu le rapport entre la gouvernance et la gestion des services.

ITIL® et Gouvernance chez Digicomp : ITIL® Foundation CobiT® 2019 Foundation ISO 22301 Business Continuity Foundation

Tout d’abord, nous devons définir plus précisément le concept de gouvernance. La gouvernance “s’assure que les politiques et la stratégie sont réellement mises en œuvre et que les processus requis sont correctement suivis. La gouvernance signifie, entre autres, définir les rôles et les responsabilités, mesurer et produire des rapports, ainsi que prendre action pour résoudre tous les problèmes identifiés” : telle est la définition du concept de gouvernance dans le glossaire ITIL®. Comme c’est souvent le cas dans ITIL®, il y a effectivement de nombreux termes mais l’explication est plutôt illustrative que formelle.

L’origine du mot est un peu plus claire: il vient du latin “gubernare” (conduire, piloter, orienter, diriger), ce qui correspond à “kybernáo” en grec, dont est issu le terme “cybernétique”. La théorie du système rejoint donc celle de l’organisation: qu’il s’agisse de machines ou d’organisation, les deux systèmes ont besoin de mécanismes de commande et de direction pour remplir leur fonction. Notre système de gestion des services a également besoin que nous développions une gouvernance correspondante à l’aide d’ITIL® et ISO 20000 afin de montrer que :

• nous mettons en œuvre les directives stratégiques
• nous suivons les principaux objectifs et règlements de l’entreprise
• nous observons les directives externes (lois, directives de la branche, etc.)
• nous aspirons constamment à équilibrer obligation de diligence, traçabilité, optimisation de la valeur et minimisation des risques

Cobit montre la multidimensionnalité de la gouvernance

Le graphique suivant, extrait de Cobit 5.0, illustre clairement cet aspect multidimensionnel de la gouvernance :

Cobit exige aussi impérativement que la gouvernance informatique, ainsi que la gouvernance de la gestion des services ne soient pas considérées de façon isolée mais comme faisant partie intégrante d’une “gouvernance d’informatique d’entreprise”.

Un élément important de chaque gouvernance réside dans les mécanismes de contrôle permettant de prouver que les objectifs de gouvernance sont respectés. Les “contrôles” de la gouvernance ont trois objectifs :

• prouver que les exigences en matière de gouvernance sont respectées (preventive controls)
• signaler que des divergences ont été identifiées (detective controls)
• prouver que des contre-mesures sont mises en œuvre (corrective controls)

Les contrôles ne sont en fait qu’un type spécial de métriques telles qu’on les connaît déjà dans ITIL®.

Nous mesurons pour plusieurs raisons :

Nous rapprochons ainsi gouvernance et ITIL®. Et c’est seulement de cette manière que nous pouvons axer notre système de gestion des services de façon judicieuse sur les objectifs de l’entreprise.

Notre cascade d’objectifs d’ITIL® nous aide à axer notre système de mesure à la fois sur les facteurs critiques de succès (CSF) et sur les indicateurs clés de performance (KPI), ainsi que sur les contrôles:

Pourquoi avons-nous désormais besoin de gouvernance dans ITIL® ?

Il y a cinq domaines dans lesquels la gouvernance est indispensable pour un système de gestion des services efficace :

1. Gouvernance des processus : l’affectation claire de rôles et de responsabilités quant aux processus est décisive pour la réussite d’un processus. A l’aide de directives et d’objectifs, les attributions des rôles de processus doivent être assimilées à celles des supérieurs hiérarchiques.
   Exemple : en cas d’incident majeur, un responsable de la gestion des problèmes doit pouvoir réunir des spécialistes de l’ensemble des teams afin de pouvoir faire avancer la recherche des causes de manière ciblée – quelles que soient les tâches auxquelles travaillent justement ces spécialistes au sein de leurs teams.
2. Conformité : pour la conformité par rapport aux directives internes et externes, l’obligation de diligence et la traçabilité des activités de processus doivent être garanties au moyen du principe des quatre yeux et d’outils de soutien.
   Exemple : un changement ne doit jamais être autorisé par la personne qui sollicite et/ou a élaboré le changement. Un changement standard n’a pas besoin d’une autorisation mais doit être documenté de manière à ce que son exécution soit claire (qui a fait quoi et quand?).
3. La cascade d’objectifs doit constamment justifier la mise en œuvre de projets stratégiques et générer ainsi une valeur ajoutée.
   Exemple : après avoir investi dans une solution de gestion de la configuration, des améliorations doivent être démontrées au niveau de la gestion des incidents et des changements (temps de résolution plus rapides et moins de restaurations).
4. Le processus d’amélioration en 7 étapes de l’amélioration continue des services (CSI) doit garantir que les améliorations stratégiques de l’étape 3 sont durables.
   Exemple : des améliorations en matière de gestion de la disponibilité peuvent être présentées la première année suivant l’introduction de la gestion de la configuration, et aussi en matière de gestion des niveaux de service la deuxième année.
5. Une gouvernance solide sous forme de décisions de gestion est aussi exigée en fin de compte dans le cadre de l’organisation de catalogues de services et d’accords sur les niveaux de services : dans le jeu de l’offre et de la demande, des décisions compliquées doivent souvent être prises entre l’attente des clients et l’offre du fournisseur de services.
   Exemple : une unité business souhaite un support 7j/7 et 24h/24, contrairement aux 5 autres unités business. L’augmentation du niveau de support ne se calcule pas seulement pour une unité business et, de la même manière, une unité business est la seule à être en mesure de financer cela. Une solution doit donc être imposée pour tous en amont ou une subvention du niveau de service accru doit être convenue.