Cycle des conférences AFAI à l'Université Paris Dauphine
3 avril 2014
Le contrôle interne comme levier essentiel de la maî...
Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’a...
3
NOTRE
HISTOIRE
• SANOFI EN BREF
Hoechst
Marion
Roussel
1997
Roussel
1911
Marion
1950
Hoechst
1863
Synthélabo
1970
Delala...
Sanofi - bref historique
• Sanofi est l’héritier d’une très longue histoire qui s’illustre avec les grands progrès
scienti...
1973 à 2008 2009 à 2011
Leader de santé diversifié
300fusions et acquisitions
10 110 000
dans 100 pays
Employés
Santé, Bea...
Autres
pays
3 730
Marchés
émergents
10 957
États-Unis
10 433
Europe
occidentale
7 831
CHIFFRE D’AFFAIRES
TOTAL PAR ZONE
GÉ...
Sanofi – stratégie
• Une stratégie centrée sur les besoins du patient
– Caractérisée par une rupture de son modèle commerc...
Sanofi – organisation non officielle
8
Sanofi – Affaires Industrielles
• Les « Affaires Industrielles » développent, produisent, conditionnent,
stockent et distr...
UN RÉSEAU
INDUSTRIEL
MONDIAL
•Une forte présence géographique pour répondre aux
besoins de nos clients
AMÉRIQUE DU NORD
AM...
Sanofi - DSI des Affaires Industrielles
• Mission de la DSI des Affaires Industrielles
• Assurer la bonne maîtrise du SI q...
Sanofi - IS Internal Control activities
• Indépendamment de la DSI industrielle, un département IS
Internal control & comp...
Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’a...
sanofi
Organisation et contrôle interne
• Le contrôle interne est une préoccupation historique du Groupe
• Sanofi et ses f...
Sanofi - Le Modèle des 3 lignes de maîtrise
15
Régulateurs
Auditexterne
gestiondesrisquescontrôleinterne
assuranceconformi...
Le modèle 3 lignes de maîtrise
• Ce modèle considère que les risques sont pris en premier lieu par les opérationnels
et le...
Les enjeux sanofi
Le contrôle interne
• Adoptée en juillet 2002 par le Congrès américain, la Loi
Sarbanes-Oxley (SOA) impl...
18
Sanofi - IT Internal control framework : COSO/CObIT
• Le CObIT ¹ Modèle de référence pour la
gouvernance des technologi...
1919
Sanofi - Sarbanes Oxley, Internal Control and
Compliance time perspective
2005-2009Before 2005 2010 2011
Sarbanes Oxl...
20
Les enjeux sanofi
Les grands projets de déploiement
les facteurs de succès
• Selon différentes études* :
– 25% des proj...
21
Les enjeux sanofi
Les grands projets de déploiement
• 2 groupes de raisons d’échec, liés à :
– Une faiblesse de l’organ...
Les enjeux sanofi
Les grands projets de déploiement
The Standish Group.CHAOS
• Les ponts romains de l'Antiquité reposaient...
23
Sanofi - L’approche
La deuxième ligne de maîtrise
• Une deuxième ligne de maîtrise
– Une équipe indépendante
– Une éval...
24
Les points de contrôle d’un projet
Expression
des besoins
Etude
/Conception
Réalisation Mise en
œuvre
Avant-projet Post...
25
Le « contrôle interne » appliqué au projet
• En phase pré-projet , en fonction des invariants, l’évaluateur doit compre...
26
Découpages et jalons
• Découpage d'un projet
– décomposé en lots ou en sous-projets ou encore en chantiers, afin d’obte...
27
Les phases et les jalons clé
• Phase avant-projet : la réflexion sur l’intérêt du projet en lui-même, en terme d’opport...
28
Les documents-clés
• Tels que présentés en bleu dans le schéma précédent,
seuls une dizaine d’entre eux sont indispensa...
Review topic Site 1 Site 2 Blocking
1. Site assessment action plan follow-up
2. Project organization Yes
3. Critical resou...
| 30
Project review radar Site 1
Et Agile dans tout ça
• Toujours d’après le Standish Group des délais plus petits, avec des
livraisons des composants logi...
Méthode traditionnelle
• Les méthodes traditionnelles prônent un enchaînement séquentiel des différentes
activités, depuis...
Pratiques Agile (1/2)
33
De nombreuses méthodes Agiles (XP*, Crystal, FDD**, Scrum**pour les plus connues) apporte
son pro...
Pratiques Agile (2/2)
34
• l’Iteration Planning, en début d’itération, permet à l’ensemble de l’équipe projet de découvrir...
Extreme Programming (XP - 1999)
Son but principal est de réduire les coûts du changement. Les principes ne sont pas nouvea...
Extreme programming
36
Test and learn
37
DevOps
• Devops est un mouvement visant à aligner le système d'information sur les besoins de
l'entreprise. Ce que l'on po...
Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’a...
40
Points de vigilance
• Le projet est une organisation temporaire, qui « change
continuellement de dimension et qui vit c...
41
Point de repère
• La réalisation d’un projet de grande ampleur n’est possible qu’avec un personnel travaillant
à temps ...
Un mot de conclusion
• La période actuelle joue un rôle de révélateur et
d’accélérateur pour le renforcement des mécanisme...
43
En guise de conclusion
Webographie et bibliographie
• ADELI (Association pour la Maitrise des Systèmes d’Information) : www.adeli.org
• AFAI (Ass...
Prochain SlideShare
Chargement dans…5
×

Conference afai 03 04 2014 m soudry g gulla menez

993 vues

Publié le

Le contrôle interne comme levier essentiel de la maîtrise d’un projet informatique 

Publié dans : Logiciels
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
993
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Conference afai 03 04 2014 m soudry g gulla menez

  1. 1. Cycle des conférences AFAI à l'Université Paris Dauphine 3 avril 2014 Le contrôle interne comme levier essentiel de la maîtrise d’un projet informatique Muriel Soudry Site readiness manager, Sanofi Affaires Industrielles Gina Gullà-Ménez Directeur IS Compliance et Contrôle interne, Sanofi Affaires Industrielles
  2. 2. Plan de la présentation 1. Introduction - contexte Sanofi 2. Le contrôle interne et le projet • Les enjeux de Sanofi • L’approche 3. Points de vigilance, points de repères Conclusion Questions réponses 2
  3. 3. 3 NOTRE HISTOIRE • SANOFI EN BREF Hoechst Marion Roussel 1997 Roussel 1911 Marion 1950 Hoechst 1863 Synthélabo 1970 Delalande 1924 Delagrange 1931 Robert & Carrière 1901 Dausse 1834 BMP Sunstone, Medley, Merial, Nepentes, Zentiva, Kendricks, Oenobiol, Chattem, Acambis, Symbion, Shantha Biotechnics 2008-2010 Genzyme 2011 Sanofi-aventis 2004 Aventis 1999 Sanofi-Synthélabo 1999 Sanofi Pasteur 2004 Sterling 1901 Midy 1718 Clin Midy 1971 Chinoin 1919 Sanofi 1973 Connaught 1922 Rorer 1910 Rhône-Poulenc Rorer 1990 Institut Mérieux 1897 Wittman & Poulenc 1860 Une longue tradition dans le domaine de la santé
  4. 4. Sanofi - bref historique • Sanofi est l’héritier d’une très longue histoire qui s’illustre avec les grands progrès scientifiques des XIXème et XXème siècles et la notoriété des principaux laboratoires industriels qui ont marqué l’évolution de la chimie, de la pharmacie et de la médecine : – En 1718, les Laboratoires Midy sont créés par une famille de pharmaciens. – En 1980, le groupe Clin Midy est racheté par Sanofi. – Les Laboratoires Dausse sont fondés en 1834 et les Laboratoires Robert & Carrière en 1901. Leur alliance donnera naissance en 1970 au Groupe Synthélabo. – En 1860 le pharmacien Etienne Poulenc crée la société Wittmann et Poulenc Jeune. En 1910, le laboratoire Rorer voit le jour. La fusion des deux sociétés donnera naissance en 1990 à Rhône-Poulenc Rorer. – En 1863, un groupe de chimistes, de commerçants et d’ouvriers se lance dans la fabrication de colorants dans une petite usine située à l'ouest de la ville de Höchst, en Allemagne. C’est l’origine de la société Hoescht qui, par son alliance le laboratoire Roussel fondé en 1911, donnera Hoechst Marion Roussel. – En 1887, Marcel Mérieux, élève de Louis Pasteur, fonde l’Institut Biologique Mérieux qui deviendra en 2004 Sanofi Pasteur, la division vaccin du groupe Sanofi. • Et plus récemment – Les groupes Sanofi et Synthélabo fusionnent en mai 1999 pour constituer un acteur majeur de la pharmacie. Il s’agit de deux groupes jeunes, fondés respectivement en 1973 pour Sanofi et en 1970 pour Synthélabo. – En décembre 1999, les groupes Rhône-Poulenc et Hoechst Marion Roussel, officialisent par leur fusion la création d’Aventis. Le groupe franco-allemand se situe dans les tous premiers mondiaux. – En août 2004 Sanofi-Synthélabo prend le contrôle d’Aventis. La fusion-absorption, finalisée le 31 décembre de la même année, donne naissance à Sanofi-Aventis. – Le 6 mai 2011, Sanofi-Aventis simplifie son nom en Sanofi 4
  5. 5. 1973 à 2008 2009 à 2011 Leader de santé diversifié 300fusions et acquisitions 10 110 000 dans 100 pays Employés Santé, Beauté, Nutrition Source : estimation collaborateurs mars 2011, présentation RI - 6 sept. 2011 23acquisitions incluant Genzyme +61 +2créations de co-entreprises soit 23Mds€investis accords de licence Sanofi – évolution et chiffres clés 5 PRÉSENTATION INSTITUTIONNELLE 2011 30,4 Mds€ de CA en 2010
  6. 6. Autres pays 3 730 Marchés émergents 10 957 États-Unis 10 433 Europe occidentale 7 831 CHIFFRE D’AFFAIRES TOTAL PAR ZONE GÉOGRAPHIQUE (en millions d’euros) 6 Chiffres au 31/12/2013 DETAIL DES PLATEFORMES DE CROISSANCE (in million euros) (Croissance à taux de change constants) Marchés émergents €10 957M Solutions diabète € 6 568M Vaccins € 3 716M Santé Grand Public € 3 004M Genzyme € 2 142M Santé animale € 1 985M Produits innovants € 705M CHIFFRE D’AFFAIRES NET (en millions d’euros) 32 951 m € • CHIFFRES CLÉS 2013 Chiffres au 31/12/2013
  7. 7. Sanofi – stratégie • Une stratégie centrée sur les besoins du patient – Caractérisée par une rupture de son modèle commercial traditionnel et par une profonde transformation de l’environnement de la R&D, l’industrie pharmaceutique se situe à un véritable carrefour : • contraintes réglementaires strictes • essor des génériques • contrôle des coûts – Aussi la demande en solutions de santé n’a jamais été aussi forte. Enfin et surtout, jamais les opportunités scientifiques et technologiques n’ont été aussi prometteuses. Sanofi est à une époque charnière de son histoire entre défi et opportunité. • Au carrefour de toutes les opportunités – 2012, le Groupe perd 30 % de son chiffre d’affaires sans pouvoir prétendre à une compensation équivalente de la part des produits de son portefeuille de développement. – Notre stratégie s’articule autour de trois grandes priorités : • accroître l’innovation en Recherche et Développement, • saisir les opportunités de croissance externe, • s’adapter aux enjeux et aux opportunités à venir. • Une croissance durable et adaptée aux réalités locales – Notre stratégie repose sur une politique structurée d’acquisitions et de partenariats adaptée à la réalité de chaque pays et qui renforcent nos six plates-formes de croissance : • les marchés émergents, les vaccins humains, la santé grand public, le diabète, les produits innovants et la santé animale. • avec Genzyme, Sanofi renforce son expertise dans le domaine de la biotechnologie et des maladies rares. 7
  8. 8. Sanofi – organisation non officielle 8
  9. 9. Sanofi – Affaires Industrielles • Les « Affaires Industrielles » développent, produisent, conditionnent, stockent et distribuent les produits du Groupe. • Sanofi a choisi d’intégrer la fabrication de ses produits afin d’en maitriser la qualité et la distribution. • Stratégie des « Affaires Industrielles » : développer son portefeuille et construire sa diversification, aussi bien dans les pays émergents que sur les autres marchés. • Aujourd’hui, un maillage industriel complet, avec : – des sites globaux dédiés à la fabrication de dispositifs médicaux, de systèmes et de produits hautement technologiques, – des sites régionaux dédiés à des marques qui réalisent des volumes importants sur des produits de grande consommation et des usines locales tournées vers leur marché national. • La tendance actuelle consiste en une synergie industrielle, en rapprochant les activités pharmaceutiques et vaccins et en adaptant l’outil de production à la mutation vers les biotechnologies. 9
  10. 10. UN RÉSEAU INDUSTRIEL MONDIAL •Une forte présence géographique pour répondre aux besoins de nos clients AMÉRIQUE DU NORD AMÉRIQUE LATINE 11 sites 7 PHARMA (Solides) 2 SANTÉ ANIMALE 2 VACCINS 52 sites 39 PHARMA (Solides, Injectables, Chimie et Biotechnologies) 2 GENZYME 8 SANTÉ ANIMALE 3 VACCINS EUROPE 20 sites 3 PHARMA (Solides) 8 GENZYME 5 SANTÉ ANIMALE 4 VACCINS 7 sites 7 PHARMA (Solides) AFRIQUE MOYEN-ORIENT ASIE-PACIFIQUE 22 sites 14 PHARMA (Solides et Chimie) 1 GENZYME 3 SANTÉ ANIMALE 4 VACCINS 112 SITES DE FABRICATION DANS 40 PAYS (40 sites dans les pays émergents) 1 0 4 milliards de boîtes produites et distribuées par an ~45 000 collaborateurs centrés sur la satisfaction des patients et des clients
  11. 11. Sanofi - DSI des Affaires Industrielles • Mission de la DSI des Affaires Industrielles • Assurer la bonne maîtrise du SI qui repose sur un socle commun de standards et de solutions informatiques harmonisées. • Les systèmes d’informations des activités industrielles de Sanofi ont une importance stratégique pour l’entreprise : – ils supportent la majeure partie des processus issus du savoir-faire de nos équipes et composant notre patrimoine. – Ils constituent un levier essentiel de performance pour l’industriel – Ils permettent d’apporter un avantage concurrentiel dans un environnement de plus en plus compétitif. • Une usine sanofi est très largement automatisée (60 % à 80 % en moyenne). • Le paysage applicatif est le résultat des fusions /acquisitions. 11
  12. 12. Sanofi - IS Internal Control activities • Indépendamment de la DSI industrielle, un département IS Internal control & compliance intervenant selon 2 axes : Preventive approach Includes all steps and controls taken before any problem occurs * Guideline, Communication notes, training, * SOD matrix definition, support IS to implement in Athena transaction allowing sites to check SOD conflicts, * site readiness – internal control applied to project Post-implementation approach Includes all steps and controls taken to detect and to correct any error or irregularities that may have occurred * Internal Control Campaign with a use of the CSI tool (data mining) * SOX Testing | 12 12
  13. 13. Plan de la présentation 1. Introduction - contexte Sanofi 2. Le contrôle interne et le projet • Les enjeux de Sanofi • L’approche 3. Points de vigilance, points de repères Conclusion Questions réponses 13
  14. 14. sanofi Organisation et contrôle interne • Le contrôle interne est une préoccupation historique du Groupe • Sanofi et ses filiales françaises sont soumises à la loi de sécurité financière du 1er août 2003 . • sanofi est également tenu de respecter les dispositions de la loi Sarbanes Oxley du 30 juillet 2002. sanofi s’appuie sur les principes des 3 lignes de maîtrise. En 2013 L'AMRAE* et l'IFACI* ont publié une position commune pour formaliser un modèle de maîtrise des risques, avec le soutien de l'IFA*. • Ce modèle fournit un référentiel utile pour l’articulation des différentes fonctions et prérogatives. • AMRAE - L'Association pour le management des risques et des assurances de l'entreprise (AMRAE) • IFACI - l'Institut français de l'audit et du contrôle interne (IFACI) • IFA - 14
  15. 15. Sanofi - Le Modèle des 3 lignes de maîtrise 15 Régulateurs Auditexterne gestiondesrisquescontrôleinterne assuranceconformité Modèle des trois lignes de maîtrise Conseil d’administration / Comité d’audit Direction générale 1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise S.I. R.H. Management opérationnel Juridique Finance Audit interne HSE Contrôle de gestion ...
  16. 16. Le modèle 3 lignes de maîtrise • Ce modèle considère que les risques sont pris en premier lieu par les opérationnels et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des risques constituent donc la « 1ère ligne de maîtrise ». • La « 2nde ligne de maîtrise » est tenue par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité). • L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l’entreprise fournit une « assurance raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la « 3ème ligne de maîtrise ». 16
  17. 17. Les enjeux sanofi Le contrôle interne • Adoptée en juillet 2002 par le Congrès américain, la Loi Sarbanes-Oxley (SOA) implique que les Présidents des entreprises cotées aux Etats-Unis certifient leurs comptes auprès de la Securities and Exchanges Commission (SEC) l'organisme de régulation des marchés financiers US. • Guidée par trois grands principes : l'exactitude et l'accessibilité de l'information, la responsabilité des gestionnaires et l'indépendance des vérificateurs/auditeurs • Son objectif : restaurer la confiance des investisseurs et de renforcer la gouvernance d'entreprise, largement entamée par les nombreux scandales financiers de 2001 et 2002 17
  18. 18. 18 Sanofi - IT Internal control framework : COSO/CObIT • Le CObIT ¹ Modèle de référence pour la gouvernance des technologies de l'information, permet de comprendre et de gérer les risques liés aux systèmes d'information. La SEC a retenu l'infrastructure de contrôle interne COSO ². COBIT était la meilleure voie pour évaluer la conformité aux exigences du COSO. • ISO 17799 - Catalogue de bonnes pratiques assurant un client que ses informations sont gérées de manière sécurisée par son fournisseur. Complément de réponse aux obligations de sécurité des systèmes d'information. • ISO 15504 et ITIL. ¹ CObIT - Control Objectives for Information and related Technology ² COSO - Committee of Sponsoring Organizations | 18
  19. 19. 1919 Sanofi - Sarbanes Oxley, Internal Control and Compliance time perspective 2005-2009Before 2005 2010 2011 Sarbanes Oxley did not exist Neither IS Internal audit Reaching compliance Internal Tests External Tests Fix deficiencies Reaching compliance Internal Tests External Tests (CACs) Fix deficiencies + Security Diagnostic (fix deficiencies) Reaching compliance Internal Tests External Tests (CACs) Fix deficiencies + Security Diagnostic (preventive) ++ integration of know how Since 2012 Reaching compliance Internal Tests External Tests Fix deficiencies + regular internal controls ++ Focus on internal control and articulated model
  20. 20. 20 Les enjeux sanofi Les grands projets de déploiement les facteurs de succès • Selon différentes études* : – 25% des projets sont abandonnés avant d’être mis en production, – 50% des projets ont un dépassement budgétaire de l’ordre de 100 % – 75% des projets sont considérés comme des échecs opérationnels • Causes de succès – Implication des utilisateurs qui expriment clairement leur objectifs (alignement stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les exigences fonctionnelles formalisées doivent être prise en compte ! – Implication au bon niveau du management dans le soutien du projet (gouvernance, arbitrage) – Fréquence des tests et des bilans (milestones). * Standish Group: « Chaos Chronicle », Oxford University
  21. 21. 21 Les enjeux sanofi Les grands projets de déploiement • 2 groupes de raisons d’échec, liés à : – Une faiblesse de l’organisation du projet, maîtrise des charges et des délais – Une mauvaise réponse au besoin • Causes d’échec: – Evolution non maîtrisée des spécifications en cours de réalisation – Le facteur humain : conduite du changement – Gestion de projet insuffisante: • estimation imprécise, non révisée en cours de projet, • un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant; • attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”. – Un contrat « mal cadré » – Absence de gestion des risques actualisée tout au long du projet.
  22. 22. Les enjeux sanofi Les grands projets de déploiement The Standish Group.CHAOS • Les ponts romains de l'Antiquité reposaient sur des structures peu efficaces. Au regard des normes modernes, ils utilisaient trop de matériaux, et par conséquent, cela générait beaucoup de travail. Au fil des années, nous avons appris à construire des ponts plus efficacement, en utilisant moins de matériaux et en générant moins de travail pour effectuer la même tâche." Tom Clancy (La Somme de Toutes les Peurs) • L'une des raisons principales pour lesquelles les ponts se construisent dans les temps, en respectant le budget et sans s’écrouler , est que leur conception est extrêmement détaillée. La conception est figée et l'entrepreneur ne peut quasiment pas modifier les spécifications. Toutefois, à notre époque où tout évolue rapidement, une conception figée ne permet pas de s'adapter aux nouvelles contraintes du Métier. Par conséquent, un modèle plus souple doit être utilisé. Cela é été considéré comme une justification de l'échec du développement logiciel. Mais il y a une autre différence entre les défaillances des logiciels et celles des ponts, au delà des 3000 ans d'expérience. Quand un pont s'effondre, une enquête est effectuée et un rapport est rédigé pour expliquer les causes. Dans le secteur informatique, les défaillances sont couvertes, ignorées et/ou justifiées. En conséquence, nous continuons à faire les mêmes erreurs, encore et encore … 22
  23. 23. 23 Sanofi - L’approche La deuxième ligne de maîtrise • Une deuxième ligne de maîtrise – Une équipe indépendante – Une évaluation formelle de tout ou partie de la santé du projet – Une approche basée sur les risques et évaluant les différentes activités liées au projet. • Zones d’investigation / critères d’évaluation /risques majeurs – Alignement besoins métiers, – Portefeuille projet, – Organisation projet et ressources crittiques, – Activités projet : ustilisateurs clé, – Planification et suivi de projet, – Infrastructure – Conduite du changement – Contrôle interne,…. • Les projets sont évalués quelque soit la phase du cycle de vie, depuis la phase pré- projet jusqu’au post démarrage.
  24. 24. 24 Les points de contrôle d’un projet Expression des besoins Etude /Conception Réalisation Mise en œuvre Avant-projet Post-projet La gouvernance / sponsorship La gestion des risques projet La gestion des besoins utilisateurs La conduite du changement (formation, communication) La maîtrise des appros, des fournisseurs La gestion de projet (planification, suivi) ……. Cahier des charges Dossier de conception Etude d’opportunité AcceptationPlan et rapport de tests + Documentatio n Bilan Plan de formation Plans Plans
  25. 25. 25 Le « contrôle interne » appliqué au projet • En phase pré-projet , en fonction des invariants, l’évaluateur doit comprendre le cadre de la conduite du projet – S’appuyer sur les éléments d’entrées : évaluation de la maturité de l’organisation, des infrastructures, de la sécurité • Les invariants/points de contrôle sont : – Le découpage : phases clé – Les jalons du projet – Les documents clé – Les autres fondamentaux (cf causes d’échec et de succès): • La gouvernance projet • La gestion des risques • La gestion des besoins utilisateurs • La conduite du changement • La maîtrise des appros, des fournisseurs • La gestion de projet
  26. 26. 26 Découpages et jalons • Découpage d'un projet – décomposé en lots ou en sous-projets ou encore en chantiers, afin d’obtenir des sous-ensembles dont la complexité est plus facilement maîtrisable. – en phases. Chaque phase est accompagnée d’une fin d’étape destinée à formaliser la validation de la phase écoulée avant de passer à la phase suivante. (jalon) • • Jalonnement – L’approche par jalons est un acte de direction, qui permet de bien structurer le projet dans le temps, en y apportant de nombreuses garanties pour le maître d’œuvre : sa progression est calendairement mieux suivie. – Les jalons permettent de faire le point sur le projet et de n’engager la phase suivante que si tout va bien. (Go/no Go) Les décisions actées lors de cette revue de changement de phase sont des éléments stables sur lesquelles peut être bâtie la suite du projet.
  27. 27. 27 Les phases et les jalons clé • Phase avant-projet : la réflexion sur l’intérêt du projet en lui-même, en terme d’opportunité stratégique Jalon de Lancement du projet : on décide (au niveau “politique”) qu’il y a lieu de lancer un projet spécifique, et on y consacre un chef de projet, une équipe, des moyens, un responsable et un budget. • Phase d’Expression du besoin : la définition de ce que l’on attend (les fonctions attendues), le périmètre, ce sur quoi on va évaluer le projet, ce qui est important et ce qui l’est moins. Jalon de Validation du besoin : ainsi les évolutions dans l’approche des besoins pourront être tracées et justifieront d’éventuels ajustements du plan projet. • Phase d’Etude/Conception : l’étude de ce qui est techniquement et économiquement faisable. Consultation des maîtres d’œuvres possibles, comparaison des propositions techniques et financières des réalisateurs possibles, spécification papier Jalon du Choix de la solution, fin de conception : signature du contrat qui précise ce qui sera fait et la manière de le faire. • Phase de Développement/réalisation : le chantier est lancé, les travaux avancent pour transférer le “produit papier” dans le réel. Jalon de Livraison (et recette) Acceptation : on remet le produit entre les mains du client/utilisateur, qui en devient propriétaire (et peut émettre des réserves sur les écarts constatés). C’est la fin du projet proprement dit. • Phase de post-projet ou Exploitation, qui commence le plus souvent par la levée des réserves, et voit la fin de la relation contractuelle.
  28. 28. 28 Les documents-clés • Tels que présentés en bleu dans le schéma précédent, seuls une dizaine d’entre eux sont indispensables et ce quel que soit le type de projet – Ils doivent être validés et signés – Ils doivent être disponibles à un moment précis du projet : un plan qualité intervenant à la fin du projet n’a plus d’utilité – Pour certains d’entre eux, ils doivent être tenus à jour non seulement durant tout le projet mais aussi après la mise en œuvre.
  29. 29. Review topic Site 1 Site 2 Blocking 1. Site assessment action plan follow-up 2. Project organization Yes 3. Critical resources and skills Yes 4. Business benefits/ KPI – strategic monitoring 5. Current and targeted application landscape Yes 6. AED / external and internal contracts Yes 7. Training : project management methodology & internal control Yes 8. Availability of project documentation 9. Business Continuity criticality 10. Change management (Declic) 11. Safety/ security policy status Yes 12. Infrastructure Yes Critical High Medium Low Risks table / pre kick off table | 29 Remediation plan To be formalized Server room AED, SLA Qualification IPL to be hired Backfill
  30. 30. | 30 Project review radar Site 1
  31. 31. Et Agile dans tout ça • Toujours d’après le Standish Group des délais plus petits, avec des livraisons des composants logiciels plus tôt et plus fréquentes, augmentent le taux de réussite. • Le raccourcissement des délais se traduit par un processus itératif de conception, prototypage, développement, test et déploiement de petits éléments : "développement incrémental" par opposition à l'ancienne notion de "développement global" d'un logiciel. – l'utilisateur est impliqué plus tôt, – chaque composant a un propriétaire ou un petit groupe de propriétaires, – chaque composant logiciel a un énoncé clair et précis et un ensemble d'objectifs. – les attentes sont établies de manière réaliste. Les composants logiciels et les petits projets ont tendance à être moins complexes. La complexité génère de la confusion et augmente les coûts 31
  32. 32. Méthode traditionnelle • Les méthodes traditionnelles prônent un enchaînement séquentiel des différentes activités, depuis les spécifications jusqu’à la validation du système, selon un planning préétabli. Elles visent à mieux prédire la façon dont les choses « devraient » se passer. • Cette vision rassurante est bien loin de la réalité des projets. Les activités d’ingénierie ne sauraient se succéder strictement sans qu’aucun changement ne vienne perturber un planning qui n’a de durée de vie que le temps de le prononcer. • La conséquence est que plus de 80% des projets exécutés selon ces méthodologies connaissent des retards, des dépassements budgétaires, quand ils ne finissent pas en échec total, pour n’avoir pas su satisfaire les attentes des clients. 32
  33. 33. Pratiques Agile (1/2) 33 De nombreuses méthodes Agiles (XP*, Crystal, FDD**, Scrum**pour les plus connues) apporte son propre lot de techniques et de pratiques, les unes concernant plutôt le pilotage de projet, les autres, plutôt l’ingénierie. • l’implication forte du client à travers le rôle de Product Owner, • l’utilisation d’un Product Backlog pour gérer dynamiquement les fonctions du produit à réaliser, et les priorités métier associées ; le Product Backlog est élaboré en début de projet, et révisé autant que nécessaire, • le Scrum Meeting, est une courte réunion quotidienne (environ 15’) qui rassemble tous les membres de l’équipe de développement. Cette réunion permet aux personnes d’échanger des informations sur l’avancement des tâches, signaler les problèmes rencontrés et demander de l’aide si nécessaire, • le Retrospective Meeting est une réunion de fin d’itération, focalisée sur les événements survenus et l’analyse causale des dysfonctionnements, des pertes de productivité et de qualité. Un ou deux axes d’amélioration seront privilégiés de façon consensuelle et se traduiront par des tâches dans le backlog de l’itération suivante,
  34. 34. Pratiques Agile (2/2) 34 • l’Iteration Planning, en début d’itération, permet à l’ensemble de l’équipe projet de découvrir la liste des fonctions à implémenter, d’identifier et d’estimer les tâches de réalisation, • la Vélocité est un indicateur qui mesure le « volume » de logiciel produit par l’équipe au cours d’une itération. Ce « volume » est estimé préalablement pour chaque fonction (ou User Story), • le Burndown Chart est une représentation graphique de l’avancement des travaux au cours d’une itération : la courbe représente simplement le reste à faire (en charge) tel qu’il est estimé chaque jour par l’équipe. Le point initial représente l’effort total estimé pour l’itération pour l’ensemble de l’équipe, généralement en heures, l’Intégration Continue consiste à compiler, assembler, vérifier et tester l’ensemble du code source dès qu’un nouvel élément est mis à disposition, soit, idéalement, une à plusieurs fois par jour, • le Test Driven Development (TDD) consiste à écrire les programmes de tests unitaires avant de programmer les fonctions elles-mêmes, puis d’adapter le code source testé unitairement jusqu’à obtenir un code de qualité (Refactoring), • le Test Driven Requirement (TDR) permet de spécifier le logiciel par l’exemple - les exigences logicielles sont exprimées sous forme de cas de test, • enfin le Pair Programming consiste à programmer en binôme dans le but d’être plus efficace en termes de conception, de revue de code et de transfert de compétences.
  35. 35. Extreme Programming (XP - 1999) Son but principal est de réduire les coûts du changement. Les principes ne sont pas nouveaux : ils existent dans l'industrie du logiciel depuis des dizaines d'années et dans les méthodes de management depuis encore plus longtemps. L'originalité de la méthode est de les pousser à l'extrême : • puisque la revue de code est une bonne pratique, elle sera faite en permanence (par un binôme) • puisque les tests sont utiles, ils seront faits systématiquement avant chaque mise en œuvre • puisque la conception est importante, elle sera faite tout au long du projet - refactoring • puisque la simplicité permet d'avancer plus vite, nous choisirons toujours la solution la plus simple • puisque la compréhension est importante, nous définirons et ferons évoluer ensemble des métaphores • puisque l'intégration des modifications est cruciale, nous l'effectuerons plusieurs fois par jour • puisque les besoins évoluent vite, nous ferons des cycles de développement très rapides pour nous adapter au changement 35
  36. 36. Extreme programming 36
  37. 37. Test and learn 37
  38. 38. DevOps • Devops est un mouvement visant à aligner le système d'information sur les besoins de l'entreprise. Ce que l'on pourrait résumer en travailler ensemble pour produire de la valeur pour l'entreprise. • Les initiateurs du mouvement sont principalement des administrateurs systèmes férus de méthode agile, évoluant en entreprise. Certains avaient même lancé l'agile-infrastructure. • Le principe de base de devops part du constat suivant : si une équipe d'exploitation est primée sur la stabilité du système alors que l'équipe de développement est récompensée à chaque nouvelle fonctionnalité livrée, il est évident que ces deux équipes vont se retrouver en conflit perpétuel. • Devops est la concaténation des trois premières lettres du mot anglais development (développement) et de l'abréviation usuelle (ops) du mot anglais operations (exploitation), deux fonctions de la gestion des systèmes informatiques qui ont souvent des objectifs contradictoires. Le mot a été inventé par Patrick Debois[1] durant l'organisation des premiers devopsdays à Gand en Belgique, en octobre 2009. 38
  39. 39. Plan de la présentation 1. Introduction - contexte Sanofi 2. Le contrôle interne et le projet • Les enjeux de Sanofi • L’approche 3. Points de vigilance, points de repères Conclusion Questions réponses 39
  40. 40. 40 Points de vigilance • Le projet est une organisation temporaire, qui « change continuellement de dimension et qui vit continuellement des changements. » – Les constats valides à un instant t peuvent être remis en question à t+1 – Les recommandations doivent être publiées le plus rapidement possible ; dans le cas contraire, elles pourraient être perçues comme tardives • Périmètres complexes avec un grand nombre d’acteur : – Structure matricielle
  41. 41. 41 Point de repère • La réalisation d’un projet de grande ampleur n’est possible qu’avec un personnel travaillant à temps plein pour le projet • Un projet important doit bénéficier d’un appui politique correspondant • Identifier correctement les fournisseurs et vérifier leur engagements contractuels avec le projet • Pour un projet informatique : il est essentiel de réorganiser et d’harmoniser avant d’informatiser • Ne pas négliger le contexte du projet car son succès lui est directement lié : – Forte implication des utilisateurs – Qualification des personnes intervenant dans le projet – Degré de standardisation dans l’entreprise – Maturité de l’environnement de contrôle interne
  42. 42. Un mot de conclusion • La période actuelle joue un rôle de révélateur et d’accélérateur pour le renforcement des mécanismes de contrôle interne informatique. • La qualité de ces mécanismes (et des résultats) reste tributaire de la mobilisation de l’ensemble des acteurs impliqués et passe par une information / une formation aux enjeux du contrôle interne. • Enfin, en développant une meilleure appréhension des facteurs de risques, l’entreprise améliore sa capacité à saisir les opportunités nouvelles. 42
  43. 43. 43 En guise de conclusion
  44. 44. Webographie et bibliographie • ADELI (Association pour la Maitrise des Systèmes d’Information) : www.adeli.org • AFAI (Association Française de l’Audit et du Conseil Informatiques ) : www.afai.fr • AFNOR (Association Française de NORmalisation) : www.afnor.fr • COSO (Committee of Sponsoring Organizations of the Treadway Commission) : www.coso.org • IFACI (Institut Français de l’Audit et du Contrôle Interne) : www.ifaci.com • ISACA (Information Systems Audit and Control Association) : www.isaca.org • ISO (Organisation Internationale de Normalisation) : www.iso.org • ITIL (Committee of Sponsoring Organizations of the Treadway Commission) : www.itil.co.uk • PMI (Project Management Institute) : www.pmi.org • SEI (Software Engineering Institute) : www.sei.cmu.edu • Site dédié à l’audit des systèmes d’information www.theiia.org/itaudit • Audit Net, site dédié au partage de connaissance des auditeurs www.auditnet.org • CNCC Compagnie Nationale des Commissaires aux Comptes www.cncc.fr 44

×