Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

Maîtrise des coûts informatiques: AaaS, IaaS, PaaS, SaaS…

 

Les perspectives économiques, les développements et opportunités amenés par les nouvelles règlementations (UCITS IV, V, AIFMD…) imposent plus que jamais une parfaite maîtrise des dépenses informatiques. Cette préoccupation est clairement exprimée dans le dernier sondage KPMG.  Le succès de cet objectif passe par la résolution d’un système d’équations complexes portant sur les développements, la R&D, la maintenance applicative,  le prix des licences des logiciels, la production, le business continuity plan (BCP/DRP)… Il demande également d’arbitrer un certain nombre de dilemmes:

-          L’externalisation et le respect du cadre légal (Règlements CE, lois, Directives CSSF et  CNPD).

-          La capacité d’absorber des pics d’activité périodiques, ce qui peut obliger à sur-dimensionner les architectures.

-          La nécessité d’équilibrer en permanence, de manière souple et économique, les ressources et les besoins. « Scalability » , « Load balancing », « Agility ».

-          La nécessité de préserver la compétitivité par des investissements permettant de continuer à se différencier et à innover.

Tous ces gisements de coûts sont corrélés et demandent donc une approche globale, un plan directeur. Démonstration et décryptage.

Visibilité, mesures, compétitivité

Il n’est pas possible de gérer ce qui ne peut être mesuré. Les coûts ne peuvent être maîtrisés sans une visibilité suffisante sur leurs volumétries, causes, modes d’imputations, objectifs stratégiques  et rentabilité:

-          Objectifs: pilotage de production, contraintes légales ou techniques, demandes de clients, efficience opérationnelle, qualité, innovation...

-          Centres de coûts: analyse, gestion de projets, développements, tests, formations…

-          Centres de profit : métier,  produit, services…

L’évaluation des coûts réels constitue un exercice complexe. Les informaticiens sont toujours bien outillés pour mesurer les charges d’analyse, programmation et tests. La prise en compte des contributions des équipes de production est souvent plus délicate, du fait de leur discontinuité et variabilité dans le temps, de leur distribution dans différentes activités (analyses, tests, formations, migrations…) et enfin de la difficulté à mettre en place des « capteurs » automatiques pour mesurer ces charges.

Une réflexion doit également être menée sur le mode d’imputation, pour établir si le budget utilisé doit être incorporé dans des coûts marginaux (par exemple de traitement d’une opération) ou traité comme ‘frais fixes’.  A rappeler enfin l’intérêt des ‘benchmarks’ (ratio coûts IT par membre du personnel...) permettant d’évaluer le positionnement concurrentiel, par segment de clientèle et de manière globale.

Maîtrise des coûts de production par l’externalisation

Les charges d’exploitation portent sur tous les processus humains et techniques de l’architecture IT.  L’externalisation est souvent un fort levier de maîtrise et réduction des coûts et des risques, vu les  avantages importants qu’elle laisse entrevoir, d’une manière générale:

  • Economie d’échelles et mutualisation.
  • Economie de coûts de structure (encadrement, expertise).
  • Meilleure réactivité commerciale et budgétaire: souplesse dans l’ajustement des moyens par rapport aux besoins (downsizing et upgrading), possibilité de location temporaire de ressources.
  • Libération de compétences qui peuvent amener une meilleure valeur ajoutée pour l’entreprise.
  • Sécurité si l’hébergement porte par exemple uniquement sur les services Internet, ceci  pouvant améliorer l’étanchéité de vos systèmes de production.

Une décision d’externalisation relève d’un choix stratégique mais paraît de plus en plus incontournable, en commençant bien  sûr par les activités non-différenciatrices.

Le cloud computing : AaaS, IaaS, PaaS, SaaS.

L’externalisation peut prendre plusieurs formes, la dernière en date étant le ‘cloud computing’,  régulièrement traité dans ces pages. Ce service constitue une évolution (et non une révolution) des possibilités proposée depuis des décennies sous des étiquettes telles que ‘Time Sharing’, ‘Infogérance’, ‘ASP’ pour ‘Application Service Provider’. Profitant notamment des possibilités offertes par Internet, le « cloud computing » élargit les possibilités d’externalisation et permet, en théorie, de travailler en flux tendus : les ressources sont disponibles sur demande, on ne paie que ce que l’on consomme, vous ne risquez pas la ‘sur-capacité’. Sous réserve de respect des règlementations portant sur le secret bancaire, la protection des données (CNPD) et les responsabilités, ainsi que rappelé par la CSSF à différentes reprises. Autres défis posés : la réversibilité (comment garantir que les données seront totalement effacées chez les hébergeurs en cas de rapatriement ou faillite), la maintenance des processus, la réactivité des prestataires, les contrôles qualité sur les procédures de sauvetages et restaurations, la conservation du savoir-faire… L’offre est encore quelque peu ‘nébuleuse’ et se décline dans 3 types de services :

  1. La location de  ressources techniques (espace disques, serveurs, réseaux) :  AaaS pour ‘Architecture as a Service’, IaaS pour 'Infrastructure as a Service', PaaS pour ‘Platform as a Service’, SaaS pour ‘Software as a Service’, à l’exemple du Family Office «  Wealth@Work » hébergé par IBM.
  2. L’externalisation complète de processus opérationnels (back-office), par exemple de type AaaS (Archiving as a service).
  3. La gestion d’exploitation et l’ingénierie systèmes.

Le ‘cloud computing’ paraît particulièrement adapté pour des processus non critiques et des données peu sensibles mais encombrantes : environnements de développements et de tests « anonymisés » ou cryptés, catalogues de produits (Amazon), bureautique, archives, print-shops... Sauf exceptions, la recherche de ressources de stockage ne saurait à elle seule, justifier une décision d’externalisation, vu le coût en constante diminution du terabyte…

Le cadre légal et la technologie permettent d’élargir le périmètre de données et de processus susceptibles d’être externalisés. Des réponses techniques concrètes ont été apportées aux contraintes de sécurité et de contrôle par les fournisseurs de ces services. A titre d’exemple, il existe aujourd’hui des solutions d’archivage extrêmement sécurisées (et contrôlées… !) proposant de véritables ‘coffres-forts’ électroniques avec signatures numériques, permettant de conserver la valeur probatoire des documents (e.g. : Learch Luxembourg e-Archiving). Les prestataires proposent également des modèles opérationnels souples permettant de répondre simultanément aux exigences de contrôle, responsabilité et conservation du savoir-faire; il est par exemple possible de louer une architecture serveurs/réseau mais en conservant l’administration système.

Les ressources externalisées doivent être gérées dans un cadre bien délimité sur le plan physique, légal et contractuel, et accompagné de tous les processus de contrôle requis. … Pour les acteurs financiers, il semble acquis que ce service ne peut être proposé que par des ‘PSF de supports’ telles que définies dans la loi du 13 Juillet 2007 et la circulaire CSSF 08/350.

Le ‘cloud computing’ est un service qui demande encore à se définir et sur ce plan, le choix même du terme n’est sans doute pas le plus heureux, malgré la clarification proposée par le NIST (National Institute of Standards and Technology).  Ce néologisme a néanmoins le mérite d’attirer l’attention sur ces nouvelles possibilités d’externalisation et de mutualisation proposées par un nombre croissant de prestataires (ePSF.lu, IBM, SecureIT, Learch Luxembourg e-Archiving, LuxCloud…) et qui sont susceptibles de dégager des avantages concurrentiels tout en permettant aux acteurs financiers de se recentrer sur leurs métiers.

Maîtrise des coûts de maintenance – lutte contre le vieillissement des logiciels

Au plus une application subit de changements, au plus vite elle vieillit.  Cette dégradation peut être mesurée par l’évolution du taux de maintenance (coûts mesurés par rapport à celui des licences ou de l’investissement initial), qui, idéalement, devrait rester constant (15% comme benchmark). Les conséquences et symptômes du vieillissement sont la croissance asymptotique des coûts de maintenance, une dégradation de la stabilité et de la disponibilité des applications, conjuguées à une difficulté grandissante pour y implanter de nouvelles fonctionnalités. Ces paramètres ‘vitaux’ doivent être mesurés en permanence par le Management.

Pour certains acteurs financiers, les nouvelles  règlementations (EMIR, Bâle 3, MIFID2..) sont susceptibles de demander des adaptations  logicielles importantes, par exemple dans le traitement des produits dérivés de type ‘OTC’ : reporting, interfaces avec les nouvelles plateformes de clearing... Tous les applicatifs ne proposent pas des fonctions dédiées pour gérer les ‘package deals’ (montage financier dans lequel plusieurs opérations sont corrélées), ce qui peut déboucher sur des solutions palliatives, partiellement automatisées avec des ‘pirouettes’ dans la réutilisation de fonctionnalités existantes. Ce type d’approche peut poser 3 types de problèmes:

  • Reconnaissance et compréhension des opérations pour les contrôles et le reporting.
  • Coûts de productivité provoqués par les gaps d’intégration entre les applications.
  • Risques opérationnels amplifiés par les traitements manuels.

Suivi et traitement des contraintes légales

Pour les acteurs financiers (Banques, Management companies) et ainsi que souligné par l’ALCO, cette responsabilité doit être assumée en première ligne par le « Compliance Officer ». Lorsque cette fonction n’est pas requise, la responsabilité doit être assurée par le propriétaire du processus.  Le suivi et l’implantation des règlementations ont pris une telle dimension qu’ils demandent  à être instrumentalisés, en s’appuyant sur :

  • Une logique d’appropriation.
  • Une structure de projets ou de programmes.
  • Des solutions techniques internes ou externes permettant, d’une part, d’obtenir la vision consolidée (règlements CE, lois, circulaires CSSF, jurisprudence) de toutes les exigences auxquelles il faut satisfaire et d’autre part, de s’assurer de leur bonne application pour les processus et clients concernés.

Heureusement sur ce plan, l’offre de services s’est nettement étoffée et permet également une relative externalisation. Citons notamment les solutions proposées par ePSF.lu ( « Governance as a Service », «Due Diligence as a Service » et « Veille règlementaire mutualisée »),  les plateformes de notification et diffusion du KID (KNEIP/Cetrel,  FINESTI, SSBB…)  et évidemment toute l’excellence du support assuré par les firmes d’audit.

Modulation des coûts des licences pour les logiciels

Idéalement, le prix des licences devrait pouvoir être ajusté, selon l’utilisation effective du logiciel. Ce n’est pas toujours le cas: bien des éditeurs proposent effectivement des tarifs liés par exemple au nombre d’utilisateurs mais sans aucune possibilité de réduction. D’autres appliquent des schémas plus souples dans lesquels les frais sont corrélés au nombre de comptes et/ou de transactions… D’autres enfin imposent un tarif « à la carte », cette ‘carte’ étant une matrice instruments/fonctionnalités… ce qui oblige évidemment à une vigilance accrue et à une excellente anticipation pour ne pas risquer d’être confronté à un cas non-conforme qui demanderait un effort budgétaire imprévu…

Les paramètres de facturation peuvent également relever d’un choix stratégique : coûts fixes amortissables versus coûts marginaux… Certains patrons manifestent parfois des réticences à maintenir une stricte corrélation entre la variation des coûts et des revenus.

Cohérence et maîtrise du Plan Directeur Informatique

Le plan Directeur doit être au service de la stratégie (La Palice). Piloté par un ‘project ou programme office’, sa construction doit s’appuyer sur une méthodologie éprouvée de sélection et programmation des investissements. Les entreprises perçoivent rarement, avec suffisamment d’attention, les conséquences néfastes des retards de projets alors qu’elles sont, toujours, catastrophiques:

  • Inflation par les coûts, notamment du fait de l’immobilisation  des ressources et des effets de la loi de Brooks (le mythe du mois/homme).
  • Retard dans la prise de revenus si l’objectif est l’intégration d’un nouveau client ou la commercialisation d’un nouveau service.
  • Retard dans la réduction des coûts si le projet vise des gains de productivité.
  • Effet domino sur d’autres projets faisant appel aux mêmes compétences qui ne sont malheureusement pas ‘fongibles’.

Ces retards n’ont généralement qu’une seule cause majeure : la faiblesse des cahiers de charges. Ceci dit, même en lançant un projet à partir de spécifications très détaillées, il est difficile d’en estimer les coûts avec une précision suffisante. Il existe des méthodes de chiffrage (modèles algorithmiques, analytiques, jugements d’experts…) donnant un maximum de garanties mais il y a beaucoup d’impondérables : absentéisme, spécifications, qualité, incidents techniques, effets de bord et dépendances entre projets…Dans un projet, tout devrait être négociable, sauf le délai.

En conclusion.  Il  n’est pas possible de gérer ce qui ne peut être mesuré. La maîtrise de l’effet Parkinson (la demande pour une ressource s’accroît jusqu’à son épuisement) reste délicate : les augmentations de capacité (disques, puissance de calcul) sont parfois absorbées sans réelle justification opérationnelle. Les nouvelles possibilités d’externalisation doivent être évaluées comme des alternatives crédibles, permettant une meilleure maîtrise de la ‘capacité’ et de la qualité, tout en libérant des ressources financières et humaines. En rappelant que l’Informatique est un actif stratégique dont l’excellence conditionne la productivité du personnel, le développement commercial et l’efficacité du management.

Voir nos offres de formation et de consulting sur ces différents sujets.

Réactions les bienvenues: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.