Cela fait quelques temps que ce constat revient tout au long de mes diverses missions: certains contrôles font plus de mal que de bien. Particulièrement, les indicateurs et systèmes de mesure en tout genre.
Quand nous mettons en place un système de gestion de la sécurité (qu’il soit conforme à la norme ISO27001 ou non), de gouvernance IT (genre CObIT) ou de gouvernance d’entreprise, arrive toujours un moment où nous devons définir des indicateurs de performance. KPIs, KGI, PI, Balance Scorecard, contrôles SMARTs et j’en passe, quel comité de direction ne vous réclame pas des indicateurs et de jolis graphiques pour égayer ses réunions?
Je suis cynique sur le sujet et je m’en explique. Ces indicateurs sont censés permettre aux dirigeants de l’entreprise de prendre des décisions éclairées pour diriger leur entreprise. Pour ce faire, les KPI doivent leur fournir des indications pertinentes par rapports aux objectifs de l’entreprise. C’est la base de la définition d’un bon indicateur. Pourtant, la pertinence de certains contrôles laisse parfois à désirer. Faire des indicateurs spécifiques, mesurable, atteignables, pertinent pour le responsable et définis dans le temps n’est franchement pas une chose aisée. Et dans cette quête à l’indicateur presque parfait, on se retrouve parfois dans l’imparfait. Et cet imparfait a de graves conséquences car définir un indicateur de performance, c’est définir les objectifs de la personne responsable de cet indicateur. Et même si nous avons défini des objectifs de plus haut niveau plus pertinent pour l’entreprise (agilité, rapidité de déploiement de nouvelles solutions, satisfaction de la clientèle), c’est ce qui sera mesuré qui aura le plus d’importance car c’est là dessus que les personnes seront évaluées (et que les bonus seront éventuellement distribués). Et voilà le piège. L’objectif individuel de certains manager n’est plus l’amélioration de la performance globale de l’entreprise et de la satisfaction des clients mais bien d’atteindre ou de dépasser ses objectifs tels que mesurés par nos indicateurs. Si ils ne sont pas alignés, vous pouvez imaginer les conséquences. Si vous n’y arrivez pas, voici quelques exemples rencontrés au cours de ces dernières années.
Anecdote 1
Un responsable de service desk ne veut pas mettre en oeuvre un système de réinitialisation automatique des mots de passe des utilisateurs car les nombreux appels reçus par son service pour ce genre de problème prend nettement moins de temps que la moyenne et fait donc baisser favorablement son indicateurs de performance sur le temps de résolution moyen tout en maintenant le nombre d’appel élevé.
Anecdote 2
un responsable réseau qui n’améliore pas son infrastructure car ses indicateurs de performance considèrent le % de bande passante utilisé (qui est dans les limites) mais ne tiens pas compte des temps de latence qui sont eux catastrophique. Et bien sûr, le temps de réponse des application étant un problème complexe qui peut dépendre du réseau tout comme des systèmes et des applications, n’ont pas de KPI sur l’équipe réseau (car ils n’ont pas le contrôle). Logique mais ennuyant car les temps de latence sont catastrophiques et cela impacte les opérations.
J’ai d’autres anecdotes sur le sujet mais le but n’est pas de faire le best of des échecs en termes de KPI mais bien d’illustrer mon propos.
Que faire alors?
Clairement, ce qui me semble le plus évident, c’est de mettre des indicateurs de haut niveau sur les performances de l’entreprise et sur la collaboration à tout le monde, avec une co-responsabilité. Tout comme dans une équipe de 400m relai, tout le monde à la responsabilité de démarrer à temps, de signaler et de passer le témoin. Tous ensemble vers un objectif commun.