Le Blog Faciliware

Bonjour, Ann Dushane, vous intervenez aujourd'hui sur notre Blog Faciliware pour nous faire part de votre expertise dans le domaine de l'Audit interne SI. Tout d'abord, présentez-nous en quelques mots votre société.

Control Solutions est le premier fournisseur global en services d’audit interne, conformité, gestion des risques et solutions technologiques. Depuis plus de 15 ans, plus de 500 entreprises publiques, privées, ONG et administrations ont choisi de faire confiance à Control Solutions.

Avec plus de 800 consultants travaillant dans 25 bureaux, Control Solutions assure à ses clients une présence en Europe, Amérique du Nord et du Sud ainsi qu’en Asie Pacifique.

Nos activités se répartissent en quatre pôles : Audit Interne, Conformité réglementaire, financière et éthique, Gestion des risques, Technologie.

Voulez-vous nous dire quelques mots sur vous-même? Quelles sont vos fonctions, quel a été votre parcours, quelles sont vos responsabilités?

Senior Manager d’audit interne des Systèmes d’Informations, je travaille chez Control Solutions depuis 2005 aux Etats-Unis et en France. J’ai 10 années d’expérience en tant que Chef de Projet dans différents domaines informatiques. Ma formation est constituée d’un MBA à Thunderbird, the Garvin School of International Management et d’une Maîtrise de Sciences Economiques et français de l’Université de Pennsylvanie. Pendant mon activité de Chef de Projet au sein d’une compagnie pétrolière en 2004, j’ai géré la phase du retest de la première année du projet de conformité avec la loi Sarbanes Oxley. C’est grâce à cette expérience que j’ai rejoint Control Solutions pour un poste d’IT Audit Manager.

Quelles sont les spécificités sectorielles ou géographiques de la conformité?

Toute société cotée sur un marché américain (NYSE, Nasdaq …) est impactée par la loi Sarbanes Oxley (SOX ou Sarbox). Cette loi n’est pas réservée à certains secteurs d’activité, elle touche tous les secteurs. La loi s’est d’abord appliquée aux plus grandes sociétés américaines en 2004. Après deux années d’application des normes SOX, on constate une stabilisation et une pérennisation des contrôles mis en œuvre par ces sociétés. Elles s'attellent désormais à passer dans un mode de contrôle continu, c’est-à-dire une automatisation du test des contrôles en question. Les sociétés cotées de taille moyenne et petite (appelées les « non-accelerated filers ») ont gagné un délai de conformité passant de la fin d’année fiscale du 15 juin 2007 au 15 décembre 2007.

Pour les « foreign private issuers », telles que les sociétés françaises cotées aux Etats-Unis, on voit une augmentation très nette de l’activité associée à la conformité depuis cette année, activité intense qui se poursuivra très clairement en 2007. Les grandes sociétés non américaines qui déposent un dossier 20-F ou 40-F auprès des autorités boursières américaines – pour leur cotation sur un marché américain – doivent être en conformité dès le 15 juillet 2006 ou à la fin du premier exercice clos à partir de cette date. Les « foreign private issuers » qui sont considérés comme des « non-accelerated filers » ont gagné un délai d’un an, ce qui les amène à une date de conformité au 15 juillet 2007 ou à la fin du premier exercice clos à partir de cette date.

Comment est-ce que vos clients vous approchent, à ce sujet? Décrivez-nous, le cas échéant, leur profil-type.

On observe deux types d’attitudes complètement opposées chez nos clients vis-à-vis de la loi. Le premier consiste à se mettre en ordre de marche pour réussir sa mise en conformité dans les délais impartis. L’autre attitude consiste à très peu travailler sur ce projet en attendant des évolutions favorables de la loi (voire en espérant être finalement exclu de son champ d’application). Cette deuxième attitude peut conduire à des situations d’extrême urgence si l’évolution de la loi n’est pas celle escomptée.

Il est par ailleurs fréquent que les sociétés sous-estiment la charge de travail associée à leur processus de conformité.

C’est souvent ce type de société qui sollicite notre accompagnement sur leur projet.

Notre expérience nous a montré que pour bien préparer la conformité à la loi, il faut à peu près un an voire plus pour certaines sociétés très décentralisées. Si des sociétés ont des politiques et procédures rigoureuses en place et un environnement de contrôle bien établi, il est possible de prendre un peu de retard, mais la plupart des sociétés n’ont pas les pratiques nécessaires de contrôle en place. La définition de procédures adaptées prend beaucoup de temps. Par ailleurs, la conformité passe par une phase d’évaluation des contrôles mis en place, phase qui doit prouver leur bon fonctionnement (en plus de leur simple existence). Cette phase peut être très lourde à gérer de manière interne et il est fréquent que nos clients nous demande d’en réaliser tout ou partie pour eux.

Comment répondez-vous à leurs besoins?

Un projet de ce type là – tout comme un audit interne – est une tâche qui se superpose à l’activité quotidienne de l’entreprise. Sa complexité et la charge qu’elle nécessite lui confèrent donc un caractère disruptif fort pour l’activité de l’entreprise. Notre philosophie consiste donc à tout mettre en œuvre pour rendre notre intervention la moins perturbante possible pour nos clients et pour les opérationnels avec lesquels nous sommes en interaction. De fait, nous pouvons apporter notre méthodologie et nos process et prendre en charge de A à Z un projet de conformité ou simplement nous inscrire dans un projet déjà en route et mobiliser notre expertise afin de réaliser les tâches nécessaires plus rapidement que nos clients et surtout éviter à avoir à reprendre des tâches déjà réalisées parce que leur objectif n’était pas bien défini : ça coûte trop cher ! Notre expérience de la conformité SOX nous permet de connaître les exigences de la norme dès le début du projet.

Nous sommes le partenaire de nos clients pour les aider à préparer leur audit externe par les commissaires aux comptes. Ceci implique d’identifier les éventuelles déficiences dans leurs process et de proposer des solutions pour y remédier.

Avec votre retour d'expérience, quelles seraient les« meilleures pratiques » pour une démarche de gestion des risques ?

Une Gestion des Risques saine doit combiner une approche « top-down » et une approche « bottom-up ». La première étape consiste bien sûr à identifier les risques que la société souhaite traiter. Certains risques peuvent être identifiés mais non-traités dans le cas, par exemple, ou leur résolution coûterait plus cher à l’entreprise que la survenance du risque lui-même. Une fois les process associés aux risques identifiés, il faut les documenter afin de les clarifier et assurer une information uniforme pour tous les acteurs du process. Enfin, pour s’assurer que les acteurs suivent les procédures, il faut contrôler périodiquement l’activité. La loi Sarbanes Oxley met en place un contrôle systématique qui, avant, pouvait être plus occasionnel.

Du côté des Systèmes d’Information, beaucoup de sociétés ont notamment du mal à contrôler leurs droits d’accès. La plupart du temps, elles n’ont pas de procédures pour gérer les modifications de droits, ni, dans une moindre mesure, les créations et suppressions de droits liées aux entrées et sorties de personnel. De fait, elles ne peuvent pas fournir de preuve que les accès ont été autorisés ou même demandés. En outre, les bases d’utilisateurs sont rarement revues, ce qui fait qu’il peut y avoir des comptes inactifs depuis plusieurs années.

D’autre part, au niveau du développement et du changement d’applications financières, plus de trois quarts de nos clients n’ont pas de contrôles nécessaires pour assurer la couverture de risque de fraude dans les applications. Les changements ne sont que peu ou pas du tout documentés. Par ailleurs, il n’y a très souvent pas de preuve que les changements ont été testés et un manque de séparation de tâches entre les environnements de développement et de production est constaté aussi.

Deux thèmes récurrents dans la loi SOX sont la documentation et la preuve des contrôles. Classiquement, chez un client qui se prépare à la conformité à SOX en première année, on constate un manque des deux. Il y a bien sur d’autres contrôles qui manquent également, mais ces deux éléments fondamentaux sont rarement en place à 100% chez nos clients.

Hormis les aspects réglementaires, est-ce que des gains qualitatifs et/ou quantitatifs peuvent être identifiés, après la mise en place d'une démarche de conformité?

C’est vrai que la loi Sarbanes Oxley est souvent critiquée pour son coût de mise en place. Néanmoins, on peut lui trouver des aspects positifs. Tout d’abord, une réduction importante du risque de fraude. En effet, grâce au processus de gestion des habilitations, les sociétés peuvent réduire le nombre de licences achetées car elles auront une idée précise du nombre d’utilisateurs d’un logiciel ou d’un progiciel.

Elle peut aussi générer des gains de temps. A titre d’exemple, un de mes clients n’avait aucun moyen pour suivre ses demandes d’interventions. Elles arrivaient par téléphone, par email, par écrit ou simplement lorsqu’un demandeur passait dans le bureau du Responsable des SI. SOX impose notamment le suivi des demandes d’intervention. N’ayant pas le budget pour acheter un logiciel de suivi de demandes, il a mis en place un système basé sur des outils bureautiques grand public. Ainsi, il a créé un canal unique de demande d’intervention sous formes d’enregistrements dans une base de données. Cet outil lui a également permis d’avoir un meilleur suivi des affectations de ses équipes sur les demandes et une vision globale des types récurrents de problèmes informatiques rencontrés. Cette exigence de SOX lui a clairement permis de créer un process qui a amélioré l’efficience de son équipe.

Pouvez-vous identifier des points particulièrement significatifs pour ce type de projet?

Lorsque les sociétés pensent à la loi Sarbanes Oxley et à ses implications sur les systèmes d’information, elles ont tendance à croire que c’est une loi qui ne se focalise que sur la sécurité proprement dite. C’est vrai que celle-ci peut représenter plus que 50% des contrôles informatiques, mais la loi exige aussi des contrôles de gestion du changement, comme expliqué plus haut. Elle exige aussi des politiques et procédures de sauvegarde et de restauration des données ainsi que l’exploitation du SI. Si les sociétés utilisent des tierces parties pour l’exploitation ou l’hébergement de leurs données, il leur faut également avoir des contrôles en place pour gérer ces relations et les contrôles des tierces parties.

Les sociétés comme Control Solutions connaissent parfaitement les exigences de la loi Sarbanes Oxley. A ce jour, nous avons accompagné plus de 350 clients dans le monde entier sur leur conformité. Nous pouvons aider nos clients à traiter tous les sujets soulevés par SOX, ainsi qu’à trouver des moyens plus efficaces pour s’assurer que les procédures mises en place seront pérennes indépendamment de l’objectif de conformité réglementaire. La conformité à la loi SOX est aujourd’hui perçue comme un projet, néanmoins il est essentiel d’être capable de la gérer sur la durée. C’est un enjeu extrêmement fort de notre intervention.

English version

Bonjour, Ann Dushane, thank you for your participation on our Faciliware® Blog. We asked you to share your IT Internal Audit experience with us. To start, please present us your company. (voir la Version française )

Control Solutions is the leading global provider of independent internal audit, compliance, risk management and technology solutions.  For over 15 years, Control Solutions has been the trusted advisor to over 500 public, private, non-profit and government clients.

With more than 800 employees working in 25 different locations around the world, Control Solutions offers its clients a direct presence in Europe, North America, South America and Asia.

Our business is divided into 4 areas of expertise: Internal Audit, Regulatory, Financial and Ethics Compliance , Risk Management Technology

Would you present yourself: your function, your expertise, your responsabilities?

Senior Manager of internal audit for Information Technology, I have been working for Control Solutions since 2005 in both the US and in France.  My professional experience includes 10 years as an IT project manager within a variety of sectors.  I have a MBA from Thunderbird, The Garvin School of International Management and a BA in Economics and French from the University of Pennsylvania.  I first started working with Sarbanes Oxley compliance as the IT project manager for an oil-field services company in 2004 where I oversaw the retest phase of their first year compliance project.  Thanks to this experience, I was able to join Control Solutions as an IT Audit Manager.

Can we talk about specific issues (geographic or sector) regarding compliance?

Any company quoted on the US stock exchange (NYSE, Nasdaq, …) is impacted by the Sarbanes Oxley Act of 2002 (SOX or Sarbox to many).  This law is not reserved for just certain business sectors; it touches every sector quoted on the stock exchange.  The law was first applied to the very largest American companies in terms of market cap in 2004.  Following two years of SOX compliance efforts, we have started to see a stabilization of activities amongst our clients’ for whom their controls now start to become part of the on-going routine.  Some clients have even started to turn the corner to a continuous controls monitoring stage where the controls can be tested automatically throughout the year versus as a part of a special project.  Small- and medium-sized companies who “non-accelerated filers” have been accorded a delay in compliance with SOX until at the earliest 15 June 2007 to 15 December 2007 depending on the end of their fiscal year.

For the “foreign private issuers”, such as the large French companies traded on the US stock exchange, we have seen a very sharp increase in their levels of activity associated with compliance as of the beginning of this year and expect the activity to continue well into 2007.  The large non-American companies who file a 20-F or 40-F with the SEC – in order to be registered in the US markets – must be in full compliance as of 15 July 2006 or thereafter depending on their year-end closing period.  Like the domestic “non-accelerated filers”, the “foreign private issuers” who are also “non-accelerated filers” have won a similar delay in compliance deadlines with the first date of compliance now set for 15 July 2007 or thereafter depending on the company’s year-end closing period.

What is the attitude of your customers, with respect to this regulation, how do they handle the project, when do they come to you? Maybe you can describe for us a specific profile.

We have noticed two types of opposing attitudes from our clients with respect to their approaching compliancy with the Act.  Many of our clients take the bull by the horns and lay out a clear-cut plan for becoming compliant by the current stated deadlines.  Other clients take a more relaxed approach in hopes that the deadline will change or the law will change such that they become excluded from the demands of Sarbanes Oxley.  Clearly the second approach can lead to major problems when the law does not change in these companies’ favour or the deadline does not get pushed as anticipated.

Regardless of the approach chosen, we have also noticed that companies tend to underestimate the amount of work associated with becoming SOX compliant.  Thanks to this underestimation, companies often engage our services at any stage of the project to assist them with completing their assessments by their fiscal-end deadline.

Our experience has shown that it takes a full year, or more for very decentralised companies, to prepare for compliance with the law. For companies which already have well defined and documented policies and procedures in place and a stringent overall control environment, it is possible to delay the compliance efforts slightly, but the majority of the companies we’ve seen do not necessarily have the foundations in place in a strictly “SOX” sense of the term. The effort to document and communicate existing policies and procedures can take a significant amount of time and effort and all the more so when a procedure or policy does not even exist. But Sarbanes Oxley compliance is more than just the documentation of policies and procedures, there is also the proof that the procedures actually function according to how they are designed and described within the documentation. There must also be proof that certain control mechanisms exist, are configured correctly to control the IT and financial environments, and then tested to ensure they actually perform as configured. The phase of documentation and testing can be quite an undertaking for any size company, and thus it is often at this stage of the project that clients engage our services to assist them with certain aspects of the project or to take full ownership of the project on their behalf.

How do you answer to their needs?

As with any internal audit, the Sarbanes Oxley audit is superimposed on the daily activities of the company.  The complexity and effort that SOX requires clearly has the potential to impact the normal business environment.  Our philosophy, thus, is to organise the project in such a manner that we minimize to the greatest extent possible any disruption to the daily tasks of our key contacts and to our client’s business overall. To this point, we customize our process methodology to either undertake every aspect of the project from A to Z or to jump into an in-progress project to lend our expertise in order to complete the tasks more efficiently than our clients could alone and above all avoid any rework as a result of objectives not being well defined in the beginning.  Rework is too expensive for any company.  Our experience gained from leading our clients through SOX compliance projects permits us to understand the requirements of the law from the beginning of the project and to avoid costly rework.

We act as a partner with our clients to help them prepare for their annual audit by their external auditors.  This partnership means that we work with our clients to identify any possible weaknesses or deficiencies in their control process and then recommend possible solutions to remediate the weaknesses and to institutionalise our recommendations.

Based on your experience, can you share with us some of the "best practices" of a risk management approach?

A complete risk management process must be both top-down and bottom-up. The first step of the process involves identifying all of the risks that the company wants to ensure are managed.  There are some risks that are identified but then chosen to not be addressed with a control mechanism, particularly when the cost of controlling the risk is greater than the inherent risk itself.  Once the control mechanisms or processes associated with each risk have been identified, they must be clearly documented for all parties involved with or affected by the process.  Finally, to ensure that all parties follow the procedures, the activities associated with the procedures must be periodically tested.  Sarbanes Oxley puts in place a systematic control process which before could be more sporadic and run the risk of missing a breach of control.

From an IT perspective, many companies have problems with controlling user access to applications and systems.  The majority of the companies we’ve worked with do not have a consistent process in place to manage changes to user access from department or job moves.  In certain instances they are also lacking procedures for managing initial user access and deletion of user access associated with the arrivals and departures of employees.  Some companies may not even be able to provide proof that access is authorised, let alone even requested.  Furthermore, prior to the end of the first year audit, we find that many of the user access databases have rarely, if ever, been reviewed which means there can be several years worth of open inactive accounts which still have access to critical information.

Another area of weakness that is quite prevalent is in the management of changes to financial applications or operating systems.  Over three-quarters of the clients I’ve worked with did not have the necessary controls in place to ensure that the risk of fraudulent activities within a financial application was adequately controlled.  Changes made to the applications are not consistently documented, and there is rarely proof that an application change was tested.   Additionally, among certain clients, we notice a lack of distinct separation between IT personnel with access to the development/test environment and access the production environment.

Two critical points in a SOX audit are the documentation and proof of controls.  For our clients who are preparing their first year of Sarbanes Oxley compliance, we regularly see a lack of these two elements.  In many cases, there are other points that are missing, but these two fundamental elements are rarely available at the start of a project for 100% of our clients.

Besides regulatory requirements, can we talk about qualitative or quantitative gains from implementing a compliance programme?

It is true that the Sarbanes Oxley law is often criticised for the amount of money it takes to put all of the controls in place.  Nevertheless, there are still some positive results that can be directly derived from the law.  First of all, there is a reduction in the risk of fraud that could occur.  Additionally, as a result of implementing a sound user access management process, companies can realize a reduction in the number of licenses they need to purchase as a result of having a precise idea of the actual number of users of the application in question.

SOX can also save companies time and effort in certain processes.  For example, one of my clients did not have any process in place for systematically tracking issues and requests to change application functionality.  Such demands would arrive to any member of the team by telephone, by email, on pieces of paper or in person as the requestor passed by the IT Manager’s office.  SOX requires that all problems and changes to financially significant applications be tracked to ensure effective and authorised resolution.  Not having any budget to purchase an application to track problem tickets or manage change requests, the manager developed a database in-house to track all requests.  The database had much of the same functionality as a commercially-developed user request tracking program that would have cost him a couple of thousand euros to implement.  Thanks to the new tool, the IT manager immediately had a better idea of the issues his team was addressing as well as a global vision of the current and recurring problems.  This requirement of SOX definitely had a positive impact on the efficiency and control of my client’s IT department.

Can you identify some "key points" concerning this type of projects that companies may not have thought of?

When people think of the Sarbanes Oxley Law and its impact on IT, they have a tendency to think that the law is only concerned with IT security strictly speaking.  It is true that security can be about 50% of all IT controls, but as in the previous example, the law also calls for controls over major and minor program changes.  Additionally, it requires  policies and procedures for backups and restore of data as well as IT operations including problem and incident management. If companies use third parties to operate or store their financial information, they must also have controls in place to manage these third party relations as well as the controls of the vendors..

Companies like Control Solutions know the ins and outs of the demands of the Sarbanes Oxley law.  To date, we have helped more than 350 companies through out the world in their compliance efforts.  We assist our clients in meeting the demands required by SOX as well as help them to implement long-lasting methods for ensuring that the policies implemented in the early years of compliance can become regular business practices implemented into the fabric of the company versus just as a response to a regulatory requirement.  SOX compliance today is seen as and managed as a project, however, it is essential that companies manage the law for the long-term to ensure the controls become continuous and not once a year responses to SEC regulations.  This is the lesson we try to teach our clients from the beginning and the knowledge we leave them with at the end of our engagements.

Version française

Soumise à des pressions concurrentielles, de ses actionnaires et des diverses associations de protection des consommateurs et des salariés, British Telecom publie dans son Rapport annuel 2005, une série de 12 indicateurs non-financiers de performance parmi lesquels: la diminution de l'insatisfaction client, la diversité des salariés, la sécurité des conditions de travail etc.

Dans le rapport cité, par exemple, tout un chapitre est dédié à la Responsabilité sociale ("Notre engagement social / Our commitment to society"), consultable à l'URL suivant:  http://www.btplc.com/report/report05/Ourcommitmenttosociety/.

Autant dire que les indicateur dits de "responsabilité sociale" deviennent de plus en plus présents dans le reporting d'entreprise. Mais qu'est-ce que signifie ce terme? compte tenu des pratiques de reporting de plus en plus répandues et qui y sont liées, nous dedions un article entier au sujet de la Responsabilité Sociale de l'Entreprise.

M. Michel Gautier, Directeur Informatique de GNIS:
<<Pour une PME/PMI comme la notre (ayant fait le choix des produits IBM), l'intérêt majeur d'un tel portail d'intégration est sa capacité d'être "prêt à utiliser", englobant une "boîte à outils" pour le développement ainsi que les meilleures pratiques d'intégration des applications.>>

Paris, 6 juillet 2006

1. Quelques mots sur l'organisation de la société et sur l'équipe informatique

- GNIS est une PME/PMI ayant le siège à Paris; son organisation interne comporte 6 délégations régionales qui couvrent le territoire français, pour environ 180 salariés
- l'équipe informatique compte 7 personnes dont 5 sont affectés à la maintenance et évolution applicative, les autres prenant en charge l'administration de l'infrastructure

  2. Description de l'environnement initial (serveurs, applications) et des objectifs du projet portail

Pour l'infrastructure transverse, notre SI est construit autour de produits IBM et de produits tiers auxquels se rajoutent diverses applications métier. De par notre organisation territoriale, l'infrastructure technique est basée sur un réseau (7 sites sur l’ensemble de la France) de serveurs centraux et régionaux. L'ossature centrale utilise un serveur IBM iSeries, des serveurs Intel Windows 2003 et chaque site régional dispose d’un serveur Notes et d’un serveur de production - Intel Windows 2003 avec des bases de données relationnelles gérées par SQL Serveur.

Pour la réalisation des tâches quotidiennes métier, les utilisateurs accèdent à plusieurs applications en mode client / serveur (Magic, VDoc, Notes, Selligent, Business Objects).

La mise en place du portail métier a donc été envisagée pour faciliter l'accès aux différentes applications: un tel bureau unique éviterait l'ouverture des multiples applications et permet un accès personnalisé selon profil.

Aussi, du point de vue de l'architecture, la réalisation du projet permet la consolidation sur le site central et l'abandon des serveurs régionaux.


   3. Historique du projet

    * Les reflexions autour du projet ont commencé à la mi-2004.
    * Les activités en amont ont débuté en automne 2004 (expression des besoins, études d'infrastructure, architecture logiciel, préconisations de formation, enveloppe budgétaire).
    * Le feu vert de la direction a eu lieu en janvier 2005 pour un projet pilote partant sur la réalisation de l'application portail intégrant une grille d'activité.
    * Le pilote a débuté au printemps 2005 avec la montée en compétence de l'équipe informatique, sur les technologies de développement java (outils IBM Rational Software Architect) et portail (IBM Websphere Portal Server).
    * En juillet 2005 le pilote était finalisé, les tests ont eu lieu à la rentrée 2005.
    * En fin 2005 le groupe d'utilisateurs "métier" avait réussi à formaliser 6 autres grilles d'activité, dont l'implémentation a été reprise en janvier 2006.

   4. Etat actuel du projet, phasage de la mise en production

A ce jour (mi-2006), le portail comporte plusieurs espaces:
- collaboratif (annuaire, agenda, messagerie),
- administratif (notes de frais, demandes de congé),
- qualité (documents et procédures)
- ainsi qu'un espace métier.

Dans cet espace métier, la première application "maison" développée sous le portail a mis à disposition des utilisateurs les activités et les documents procéduraux concernant les processus spécifiques GNIS, selon le métier concerné et la saisonnalité. Les grilles descriptives sont créées par les groupes de travail utilisateurs constitués à cette occasion. En ce moment 7 grilles métier sur les 13 existantes ont été intégrées à l'application portail.

   5. Les aspects organisationnels du projet

Plusieurs aspects doivent être mentionnés:

    * l'importance du pilote: la mise en place progressive a permis une montée en compétences de l'équipe, qui désormais assure la maintenance et l'évolution du portail, aussi bien sur le plan applicatif que sur l'administration technique

    * implication initiale des utilisateurs: la réunion des représentants des régions n'a pas été facile mais il est très important que l'expression des besoins se fasse en direct, par les personnes qui constitueront les utilisateurs finaux
    * rôle du DSI / animateur: dans un tel projet d'entreprise, le rôle de la Direction informatique a été aussi et surtout d'animer les travaux et d'orchestrer les équipes voir mobiliser les différents intervenants
    * arbitrage de la mobilisation des ressources: puisque GNIS a souhaité de prendre en charge l'implémentation, la formation et la réalisation de l'application ont dû cohabiter avec les activités quotidiennes. Environ 3 jours (formation et réalisation) sur 5 hebdomadaires ont été dédiées au départ au projet.

   6. Quels sont les points d'attention d'un tel projet d'intégration?

Les relations avec les différents éditeurs constituent un point principal du projet, la webisation des applications devant passer par la faisabilité et les validations techniques. Le passage des différentes applications de client / serveur vers l'accès en mode web nous a réservé quelques surprises, aussi bien sur les techniques à utiliser que sur l'estimation des charges de travail voir sur le changement des produits tiers et licences.

   7. Qu'est-ce que la mise en place du portail a apporté à l'équipe informatique?

Sur le plan de la motivation, il est certain que la montée en compétences sur des nouvelles technologies a représenté un beau défi pour l'ensemble de l'équipe (dont l'âge moyen se situe autour des 35 ans )
Sur le plan professionnel, la réalisation du projet représente également une évolution par rapport à l'existant, ce qui conforte le potentiel de chacune des personnes.

   8. Qu'est-ce que le portail apporte à votre Système d'Information?

Parmi les apports du portail, en tant que composante du SI, nous devons considérer plusieurs aspects: dans l'immédiat, il s'agit certes de l'occultation du bureau Windows. Plus important et sur un plan plus général, le portail a permis une évolution "en douceur" qui évite surtout une refonte complète de l'existant.  On notera également la mise en place progressive, qui nous a permis de maîtriser par nous-mêmes les développements, à notre rythme, ce qui nous permet d'assurer la maintenance voir l'évolution.

D'un point de vue métier, cette fois, la mise en place du portail nous a permis a féderer selon une logique "processus" l'accès aux documents et applications. Il est également intéressant à noter que la nécessaire formalisation préalable du processus qualité a eu un effet secondaire bénéfique: l'opportunité de reviser voir de compléter les procédures métier pour les insérer dans notre Business Process Portal.

   9. En conclusion, quel est l'intérêt d'un tel outil pour les PME/PMI?

Pour une PME/PMI comme la notre (ayant fait le choix des produits IBM), l'intérêt majeur d'un tel portail d'intégration est sa capacité d'être "prêt à utiliser", puisqu'il met à disposition une "boîte à outils" pour le développement autour ainsi que les meilleures pratiques d'intégration des applications existantes (dans le monde IBM ou pas). Ceci permet d'éviter les ruptures technologiques, de faire évoluer l'existant sans avoir à refaire l'ensemble: dans ce contexte, nous ne comptons pas autant les "gains" apportés mais surtout les "économies" de coûts qui nous ont été évitées lors de l'inévitable passage des applications client / serveur vers un accès banalisé.

Etude Hurwitz &Associates: Tableaux de bord et Portails

Nous vous présentons ci-dessous les principales conclusions de l'étude:
l'utilisation des tableaux de bord se généralise d'une manière sectorielle (adoption par toute activité économique) et fonctionnelle (adoptée par toute fonction de l'entreprise);
l'intégration des sources multiples de données se trouve au coeur des besoins d'utilisation des tableaux de bord;
l'assistance à la décision et l'élimination des traitements manuels sont les principaux apports des tableaux de bord;
le Retour sur l'Investissement est réalisé rapidement: sur l'ensemble de l'échantillon, 50% des entreprises ont récupéré leur investissement durant la première année de production;
les déploiements de type portail représentent la plateforme de prédilection pour les tableaux de bord avec plus de 3 entreprises sur 4.

Voici les caractéristiques des Tableaux de bord le plus appréciées par les sociétés questionnées:
la visualisation graphique des données, permettant l'évaluation rapide de la performance et la navigation détailée pour étudier les sources des anomalies;
les formats structurés permettant une présentation orientée objectifs;
l'information en temps réel qui en plus élimine les traitements manuels extensifs et coûteux.

 L'examen des tableaux de bord mis en place a permis de conclure que la valeur ajoutée la plus importante est produite lorsque l'outil permet aux responsables de visualiser rapidement l'information de support à la décision pour une action prompte.
Les principales composantes qui permettent que les tableaux de bord favorisent l'action sont les suivantes:
liens naviguables entre les données en temps réel et celles de l'historique
alertes remontées aux responsables lorsque les indicateurs dépassent des seuils pre-établis
la connexion avec la messagerie et les processus métier.

Dans ces circonstances, le cabinet suggère une implémentation plus efficace au sein des portails, nottament grâce à la structure modulaire d'une telle architecture.

⁽*⁾ Hurwitz &Associates: Dashboards - Enabling Insight and Action, Hurwitz Research, 2005, disponible en version intégrale sur l'Internet http://www.hurwitz.com

Ainsi, les entreprises estiment que l'impact des Tableaux de bord est particulièrement fort dans les domaines du support à la décision, la vitesse d'adaptation au marché, l'amélioration de la productivité, l'amélioration de la rentabilité, l'augmentation de la satisfaction client, la différenciation concurrentielle.
Les réponses des entreprises ont également permis de dresser la liste des avantages les plus importants: diminution des traitements manuels de nature administrative, augmentation de l'éfficacité opérationnelle, plus grande réactivité aux évolutions des indicateurs clés, identification des problèmes et gestion des exceptions, augmentation de la cohésion organisationnelle, meilleure visibilité des activités distantes, détection rapide des anomalies et escalade.