Association Française de l’Audit
et du conseil Informatiques
AGENDA
Introduction
I - Présentation de l’enquête
II - Modèle des trois lignes de maitrise
III - Témoignage selon la premi...
INTRODUCTION
Rappel des objectifs du groupe de travail
Benchmark des pratiques d’entreprise en matière de contrôle interne...
Nicolas BESNARD (Mazars)
Romuald DOREY
I - PRÉSENTATION DE L’ENQUÊTE
05/02/2015 4
ENQUÊTE CONTRÔLE INTERNE INTRODUCTION
Rappel du contexte:
Taux d’échec des projets très élevé malgré les enjeux des projet...
ENQUÊTE CONTRÔLE INTERNE
TRAME DU QUESTIONNAIRE
5 grands thèmes :
05/02/2015 6
Général
Pré-projet Projet Post-projet
Axes ...
ENQUÊTE CONTRÔLE INTERNE
ENSEIGNEMENTS MAJEURS
des organisations ont des référentiels (conduite de
projet, gestion des ris...
Muriel SOUDRY (Sanofi)
II - LE MODÈLE DES TROIS LIGNES DE MAITRISE
05/02/2015 8
05/02/2015 9
Marcel DAVID (Contrôle Général des Armées)
III - TÉMOIGNAGE SELON LA PREMIÈRE LIGNE DE
MAITRISE
05/02/2015 10
1ÈRE LIGNE DE DÉFENSE
LE CONTRÔLE INTERNE
05/02/2015 11
Objectif
Organisation
et processus
Analyse des
risques
Choix de
tr...
1ÈRE LIGNE DE DÉFENSE
LE PROJET SI DANS LA PERSPECTIVE DU CONTRÔLE
INTERNE
05/02/2015 12
DG
DSI
Etudes
DAF DRH DO
DG
DSI D...
Projet # 1
Projet # 2
Projet # 3
1ÈRE LIGNE DE DÉFENSE
EXEMPLES DE CONTRÔLE INTERNE APPLIQUÉ AUX
PROJETS SI
05/02/2015 13
...
1ÈRE LIGNE DE DÉFENSE
CONCLUSION
05/02/2015 14
Objectif
Organisation
et processus
Analyse des
risques
Choix de
traitement
...
Gina GULLA-MENEZ (Sanofi)
IV - TÉMOIGNAGE SELON LA DEUXIÈME LIGNE DE
MAITRISE
05/02/2015 15
LES ENJEUX DES PROJETS DE DÉPLOIEMENT
LES FACTEURS DE SUCCÈS
Selon différentes études* :
25% des projets sont abandonnés a...
LES ENJEUX DES PROJETS DE DÉPLOIEMENT
2 groupes de raisons d’échec, liés à :
Une faiblesse de l’organisation du projet, ma...
Board / Audit Committee
Senior management
OPTIMISER NOTRE GOUVERNANCE
LES 3 LIGNES DE DÉFENSE (CONTRÔLE)
1ere ligne de con...
LE CONTRÔLE INTERNE ET PROJETS SI
POURQUOI LA DEUXIÈME LIGNE - LES CONSTATS
la première ligne – l’équipe projet défend un ...
LE CONTRÔLE INTERNE ET PROJETS SI
L’APPROCHE
L’approche de contrôle interne appliquée aux projets est
conduite par une équ...
CONTRÔLE INTERNE ET PROJETS SI
L’APPROCHE
Il s’agit d’une évaluation formelle de tout ou partie de l’état de du
site déplo...
Review topic Site 1 Site 2 Blocking
1. Evaluation préliminaire du site
2. Organisation projet Yes
3. Ressources critiques ...
Stéphanie BENZAQUINE (Mazars)
Virginie CUVILLIEZ (EY)
V - TÉMOIGNAGE SELON LA TROISIÈME LIGNE DE
MAITRISE
05/02/2015 23
3EME LIGNE DE DÉFENSE
INTRODUCTION
Les revues de projets informatiques sont partie intégrante du périmètre de
l’audit inte...
3EME LIGNE DE DÉFENSE
LES RISQUES
Les questions que se posent le commissaire aux comptes :
Gestion des incidents
Les incid...
3EME LIGNE DE DÉFENSE
QUELQUES ÉCUEILS SOUVENT IDENTIFIÉS…
La documentation des contrôles réalisés lors de la migration de...
27
Qui est l’AFAI ?
Association Française de l’Audit
et du conseil Informatiques
Lancée en 1982
Chapitre français de l’ISA...
05/02/2015 28
Prochain SlideShare
Chargement dans…5
×

Et si les projets informatiques réussissaient grâce au contrôle interne!

1 487 vues

Publié le

Et si les projets informatiques réussissaient grâce au contrôle interne!

Publié dans : Logiciels
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 487
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
87
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Et si les projets informatiques réussissaient grâce au contrôle interne!

  1. 1. Association Française de l’Audit et du conseil Informatiques
  2. 2. AGENDA Introduction I - Présentation de l’enquête II - Modèle des trois lignes de maitrise III - Témoignage selon la première ligne de maitrise IV - Témoignage selon la seconde ligne de maitrise V - Témoignage selon la troisième ligne de maitrise Conclusion 05/02/2015 2
  3. 3. INTRODUCTION Rappel des objectifs du groupe de travail Benchmark des pratiques d’entreprise en matière de contrôle interne sur les projets informatique Proposition d’une méthodologie. Périmètre et limites Ce qui est traité : Rappel des principes de contrôle interne informatique Recueil de pratiques d’entreprises : contrôle interne et projet informatique sous forme d’interview et/ou témoignage, enquête (article, séminaire,..) Cas concrets de mise en œuvre Ce qui n’est pas traité : les principales méthodes et activités de projet informatiques 05/02/2015 3
  4. 4. Nicolas BESNARD (Mazars) Romuald DOREY I - PRÉSENTATION DE L’ENQUÊTE 05/02/2015 4
  5. 5. ENQUÊTE CONTRÔLE INTERNE INTRODUCTION Rappel du contexte: Taux d’échec des projets très élevé malgré les enjeux des projets SI Objectifs de l’enquête: Établir un panorama des pratiques de contrôle interne mises en place dans les organisations pour sécuriser les projets SI. Enquête réalisée sous la forme d’un questionnaire envoyé aux membres de l’AFAI en juillet dernier Taux de réponse: 5% (44 retours sur ~900 adhérents) 05/02/2015 5
  6. 6. ENQUÊTE CONTRÔLE INTERNE TRAME DU QUESTIONNAIRE 5 grands thèmes : 05/02/2015 6 Général Pré-projet Projet Post-projet Axes d’amélioration et présentation du répondant 1 2 3 4 5
  7. 7. ENQUÊTE CONTRÔLE INTERNE ENSEIGNEMENTS MAJEURS des organisations ont des référentiels (conduite de projet, gestion des risques, de contrôle interne) mais peu les appliquent et vérifient leur bonne application Seules des organisations ont des contrôles sur certains points clés d’un projet (ressources allouées, budget, analyse des risques) Seules des organisation ont des statistiques internes sur les taux de réussite des projets Confusion entre les notions de CI et les méthodes de conduite de projet qui intègrent leur propres contrôles. 05/02/2015 7
  8. 8. Muriel SOUDRY (Sanofi) II - LE MODÈLE DES TROIS LIGNES DE MAITRISE 05/02/2015 8
  9. 9. 05/02/2015 9
  10. 10. Marcel DAVID (Contrôle Général des Armées) III - TÉMOIGNAGE SELON LA PREMIÈRE LIGNE DE MAITRISE 05/02/2015 10
  11. 11. 1ÈRE LIGNE DE DÉFENSE LE CONTRÔLE INTERNE 05/02/2015 11 Objectif Organisation et processus Analyse des risques Choix de traitement des risques Mise en place d’un dispositif de CI « Le contrôle interne est l’ensemble des dispositifs formalisés et permanents (…) qui visent à maîtriser les risques liés à la réalisation des objectifs (…) » L’aboutissement d’une démarche logique et impérative
  12. 12. 1ÈRE LIGNE DE DÉFENSE LE PROJET SI DANS LA PERSPECTIVE DU CONTRÔLE INTERNE 05/02/2015 12 DG DSI Etudes DAF DRH DO DG DSI DAF DRH DO Projets
  13. 13. Projet # 1 Projet # 2 Projet # 3 1ÈRE LIGNE DE DÉFENSE EXEMPLES DE CONTRÔLE INTERNE APPLIQUÉ AUX PROJETS SI 05/02/2015 13 Gestion du portefeuille Pilotage d’un projet Risques d’un projet
  14. 14. 1ÈRE LIGNE DE DÉFENSE CONCLUSION 05/02/2015 14 Objectif Organisation et processus Analyse des risques Choix de traitement des risques Mise en place d’un dispositif de CI DG DSI DAF DRH DO Projets DG DSI Etudes DAF DRH DO Le CI est l’aboutissement d’une démarche logique La première responsabilité des opérationnels : bien s’organiser
  15. 15. Gina GULLA-MENEZ (Sanofi) IV - TÉMOIGNAGE SELON LA DEUXIÈME LIGNE DE MAITRISE 05/02/2015 15
  16. 16. LES ENJEUX DES PROJETS DE DÉPLOIEMENT LES FACTEURS DE SUCCÈS Selon différentes études* : 25% des projets sont abandonnés avant d’être mis en production, 50% des projets ont un dépassement budgétaire de l’ordre de 100 % 75% des projets sont considérés comme des échecs opérationnels Causes de succès Implication des utilisateurs qui expriment clairement leur objectifs (alignement stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les exigences fonctionnelles formalisées doivent être prise en compte ! Implication au bon niveau du management dans le soutien du projet (gouvernance, arbitrage) Fréquence des tests et des bilans (milestones). * Standish Group: « Chaos Chronicle », Oxford University 16
  17. 17. LES ENJEUX DES PROJETS DE DÉPLOIEMENT 2 groupes de raisons d’échec, liés à : Une faiblesse de l’organisation du projet, maîtrise des charges et des délais Une mauvaise réponse au besoin Causes d’échec: Evolution non maîtrisée des spécifications en cours de réalisation Le facteur humain : conduite du changement Gestion de projet insuffisante: estimation imprécise, non révisée en cours de projet, un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”. Un contrat « mal cadré » Absence de gestion des risques actualisée tout au long du projet. 17
  18. 18. Board / Audit Committee Senior management OPTIMISER NOTRE GOUVERNANCE LES 3 LIGNES DE DÉFENSE (CONTRÔLE) 1ere ligne de contrôle 2eme ligne de contrôle 3eme ligne de contrôle Operational management Internal controls Internal Audit ExternalAudit Regulationbodies Source: Guidance on the 8th EU Company Law Directive: Published by the European Confederation of Institute of Internal Auditing (ECIIA) and the Federation of European Risk Management Association (Ferma) International Standards for the Professional Practice of Internal Auditing (IPPF): Published by the Institute of Internal Auditors (IIA) executive center (2012) Risk management Security Quality Expert audits Medical Compliance
  19. 19. LE CONTRÔLE INTERNE ET PROJETS SI POURQUOI LA DEUXIÈME LIGNE - LES CONSTATS la première ligne – l’équipe projet défend un calendrier de réalisation trop optimiste destiné à convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”. la troisième ligne - l’audit interne. Par définition, un projet est une organisation temporaire, qui « change continuellement de dimension et qui vit continuellement des changements. Les constats valides à un instant t peuvent être remis en question à t+1. L’audit en publiant ses recommandations à t+1 s’expose à ce qu’elles soient perçues comme tardives. 05/02/2015 19 Board / Audit Committee Senior management 1st line of defense 2d line of defense 3rd line of defense Operational management Internal controls Internal Audit External Audit Regulation bodies Risk management Security Quality Expert audits Medical Compliance
  20. 20. LE CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE L’approche de contrôle interne appliquée aux projets est conduite par une équipe indépendante : en « deuxième ligne » : Indépendante de l’organisation informatique Reportant au métier Publiant ses recommandations le plus rapidement possible – dès la clôture de la revue. 05/02/2015 20 Board / Audit Committee Senior management 1st line of defense 2d line of defense 3rd line of defense Operational management Internal controls Internal Audit External Audit Regulation bodies Risk management Security Quality Expert audits Medical Compliance
  21. 21. CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE Il s’agit d’une évaluation formelle de tout ou partie de l’état de du site déployé. Une approche basée sur les risques et évaluant les différentes activités liées au projet. Zones d’investigation / critères d’évaluation /risques majeurs Alignement besoins métiers, Portefeuille projet, Organisation projet et ressources crittiques, Planification et suivi de projet, Infrastructure Le facteur humain : conduite du changement Contrôle interne,…. Evaluation quelque soit la phase du cycle de vie, depuis la phase pré- projet jusqu’au post démarrage. 05/02/2015 21
  22. 22. Review topic Site 1 Site 2 Blocking 1. Evaluation préliminaire du site 2. Organisation projet Yes 3. Ressources critiques Yes 4. Mesure de valeur ajoutée 5. Caratographie applicative Yes 6. Maitrise des contrats Yes 7. Contrôle interne Yes 8. Gestion de projet 9. Business Continuity 10. Conduite du changement 11. Politique sécurité Yes 12. Infrastructure Yes Critical High Medium Low EXEMPLE DE TABLE DES RISQUES | 22 Remediation plan To be formalized Server room AED, SLA Qualification IPL to be hired Backfill
  23. 23. Stéphanie BENZAQUINE (Mazars) Virginie CUVILLIEZ (EY) V - TÉMOIGNAGE SELON LA TROISIÈME LIGNE DE MAITRISE 05/02/2015 23
  24. 24. 3EME LIGNE DE DÉFENSE INTRODUCTION Les revues de projets informatiques sont partie intégrante du périmètre de l’audit interne et des diligences de commissariat aux comptes L’audit interne intègre dans son périmètre, l’ensemble des applications implémentées et audite tous les points de contrôle de la méthodologie projet. Un des objectifs principal est de s’assurer que le nouveau système répond aux exigences utilisateurs et que ceux-ci sont « prêts » à démarrer. La démarche des commissaires aux comptes est fondée sur une approche risques/contrôles et pourra s’appuyer sur les travaux déjà réalisés par l’audit interne (reliance) Ainsi, les objectifs de revue des CAC sont spécifiques : Périmètre flux financiers Année fiscale Critères d’analyse de risques (I et T) 05/02/2015 24
  25. 25. 3EME LIGNE DE DÉFENSE LES RISQUES Les questions que se posent le commissaire aux comptes : Gestion des incidents Les incidents qui se produisent lors du démarrage de la nouvelle solution : ont-ils été résolus ? Quel a été leur impact sur la comptabilité et les processus opérationnels ? Paramétrage du progiciel Le paramétrage du progiciel (structures organisationnelles, comptes opérationnels, centres de profit, domaines d’activité, etc.) : permettent-ils un niveau de maîtrise suffisant des processus métiers et permettent-ils de comptabiliser correctement les mouvements ? Migration des données : La reprise des données est-elle exhaustive ? La qualité des données permet-elle de traiter les flux métiers et financiers ? Sécurité logique La refonte des profils utilisateurs garantit-elle que les droits d’accès utilisateurs correspondent aux domaines de responsabilités métiers ? Par ailleurs, entre le démarrage et la mise en place des nouveaux profils utilisateurs construits à partir des activités métiers, des opérations non autorisées n’auront-elles pas été générées ? 1 3 2 4 Dispositif de contrôle interne Le projet a-t-il suffisamment intégré lors de sa conception et de la mise en œuvre de la solution, les dispositifs de contrôle interne (contrôles embarqués au sein du système, contrôles manuels basés sur le système, contrôles d’interface…) participant à la fiabilité de l’information financière et la conformité aux référentiels réglementaire et comptable (IFRS, …) ? 5
  26. 26. 3EME LIGNE DE DÉFENSE QUELQUES ÉCUEILS SOUVENT IDENTIFIÉS… La documentation des contrôles réalisés lors de la migration de données est insuffisamment formalisée Le commissaire aux comptes réalisent des travaux complémentaires d’analyse de données permettant d’obtenir une assurance raisonnable sur l’exhaustivité et l’intégrité des données intégrées dans le nouveau système (ex stocks) Attention : il n’est jamais demandé de rétro-documenter Les analyses d’accès au système montrent une inadéquation des accès par rapport aux fiches de poste et des incompatibilités de séparation des tâches Les contrôles compensatoires adressant les risques de fraude doivent être testés Les contrôles embarqués ou paramétrages sont insuffisamment Les incidents post – démarrage sont très nombreux et de sévérité importante démontrant potentiellement une inadéquation de la solution aux besoins métiers 05/02/2015 26
  27. 27. 27 Qui est l’AFAI ? Association Française de l’Audit et du conseil Informatiques Lancée en 1982 Chapitre français de l’ISACA Association de référence des métiers des systèmes d’information Près de 1 000 professionnels en France Association internationale 110 000 membres dans 180 pays L’AFAI conduit ses travaux autour des deux piliers que sont la confiance dans les systèmes d’information et la création de valeur, tout en décloisonnant la réflexion par la prise en compte des enjeux stratégiques, managériaux, humains, technologiques, financiers ou juridiques. 05/02/2015 27
  28. 28. 05/02/2015 28

×