SlideShare une entreprise Scribd logo
1  sur  28
Télécharger pour lire hors ligne
Association Française de l’Audit
et du conseil Informatiques
AGENDA
Introduction
I - Présentation de l’enquête
II - Modèle des trois lignes de maitrise
III - Témoignage selon la première ligne de maitrise
IV - Témoignage selon la seconde ligne de maitrise
V - Témoignage selon la troisième ligne de maitrise
Conclusion
05/02/2015 2
INTRODUCTION
Rappel des objectifs du groupe de travail
Benchmark des pratiques d’entreprise en matière de contrôle interne sur
les projets informatique
Proposition d’une méthodologie.
Périmètre et limites
Ce qui est traité :
Rappel des principes de contrôle interne informatique
Recueil de pratiques d’entreprises : contrôle interne et projet informatique
sous forme d’interview et/ou témoignage, enquête (article, séminaire,..)
Cas concrets de mise en œuvre
Ce qui n’est pas traité : les principales méthodes et activités de projet
informatiques
05/02/2015 3
Nicolas BESNARD (Mazars)
Romuald DOREY
I - PRÉSENTATION DE L’ENQUÊTE
05/02/2015 4
ENQUÊTE CONTRÔLE INTERNE INTRODUCTION
Rappel du contexte:
Taux d’échec des projets très élevé malgré les enjeux des projets SI
Objectifs de l’enquête:
Établir un panorama des pratiques de contrôle interne mises en place
dans les organisations pour sécuriser les projets SI.
Enquête réalisée sous la forme d’un questionnaire envoyé aux
membres de l’AFAI en juillet dernier
Taux de réponse: 5% (44 retours sur ~900 adhérents)
05/02/2015 5
ENQUÊTE CONTRÔLE INTERNE
TRAME DU QUESTIONNAIRE
5 grands thèmes :
05/02/2015 6
Général
Pré-projet Projet Post-projet
Axes d’amélioration
et présentation du répondant
1
2 3 4
5
ENQUÊTE CONTRÔLE INTERNE
ENSEIGNEMENTS MAJEURS
des organisations ont des référentiels (conduite de
projet, gestion des risques, de contrôle interne) mais peu les
appliquent et vérifient leur bonne application
Seules des organisations ont des contrôles sur certains
points clés d’un projet (ressources allouées, budget, analyse
des risques)
Seules des organisation ont des statistiques internes sur
les taux de réussite des projets
Confusion entre les notions de CI et les méthodes de conduite
de projet qui intègrent leur propres contrôles.
05/02/2015 7
Muriel SOUDRY (Sanofi)
II - LE MODÈLE DES TROIS LIGNES DE MAITRISE
05/02/2015 8
05/02/2015 9
Marcel DAVID (Contrôle Général des Armées)
III - TÉMOIGNAGE SELON LA PREMIÈRE LIGNE DE
MAITRISE
05/02/2015 10
1ÈRE LIGNE DE DÉFENSE
LE CONTRÔLE INTERNE
05/02/2015 11
Objectif
Organisation
et processus
Analyse des
risques
Choix de
traitement
des risques
Mise en place
d’un dispositif
de CI
« Le contrôle interne est l’ensemble des dispositifs formalisés et
permanents (…) qui visent à maîtriser les risques liés à la réalisation
des objectifs (…) »
L’aboutissement d’une démarche logique et impérative
1ÈRE LIGNE DE DÉFENSE
LE PROJET SI DANS LA PERSPECTIVE DU CONTRÔLE
INTERNE
05/02/2015 12
DG
DSI
Etudes
DAF DRH DO
DG
DSI DAF DRH DO
Projets
Projet # 1
Projet # 2
Projet # 3
1ÈRE LIGNE DE DÉFENSE
EXEMPLES DE CONTRÔLE INTERNE APPLIQUÉ AUX
PROJETS SI
05/02/2015 13
Gestion du portefeuille
Pilotage d’un projet
Risques d’un projet
1ÈRE LIGNE DE DÉFENSE
CONCLUSION
05/02/2015 14
Objectif
Organisation
et processus
Analyse des
risques
Choix de
traitement
des risques
Mise en place
d’un dispositif
de CI
DG
DSI DAF DRH DO
Projets
DG
DSI
Etudes
DAF DRH DO
Le CI est l’aboutissement d’une démarche logique
La première responsabilité des opérationnels : bien s’organiser
Gina GULLA-MENEZ (Sanofi)
IV - TÉMOIGNAGE SELON LA DEUXIÈME LIGNE DE
MAITRISE
05/02/2015 15
LES ENJEUX DES PROJETS DE DÉPLOIEMENT
LES FACTEURS DE SUCCÈS
Selon différentes études* :
25% des projets sont abandonnés avant d’être mis en production,
50% des projets ont un dépassement budgétaire de l’ordre de 100 %
75% des projets sont considérés comme des échecs opérationnels
Causes de succès
Implication des utilisateurs qui expriment clairement leur objectifs
(alignement stratégique) et formalisent leurs exigences; cela ne veut pas
dire que toutes les exigences fonctionnelles formalisées doivent être prise
en compte !
Implication au bon niveau du management dans le soutien du projet
(gouvernance, arbitrage)
Fréquence des tests et des bilans (milestones).
* Standish Group: « Chaos Chronicle », Oxford University
16
LES ENJEUX DES PROJETS DE DÉPLOIEMENT
2 groupes de raisons d’échec, liés à :
Une faiblesse de l’organisation du projet, maîtrise des charges et des délais
Une mauvaise réponse au besoin
Causes d’échec:
Evolution non maîtrisée des spécifications en cours de réalisation
Le facteur humain : conduite du changement
Gestion de projet insuffisante:
estimation imprécise, non révisée en cours de projet,
un calendrier de réalisation trop optimiste pour convaincre la direction d’aller
de l’avant;
attendre qu’un projet prenne beaucoup de retard pour agir et espérer
qu’ajouter des ressources tardivement va “sauver les meubles”.
Un contrat « mal cadré »
Absence de gestion des risques actualisée tout au long du projet.
17
Board / Audit Committee
Senior management
OPTIMISER NOTRE GOUVERNANCE
LES 3 LIGNES DE DÉFENSE (CONTRÔLE)
1ere ligne de contrôle 2eme ligne de contrôle 3eme ligne de contrôle
Operational
management
Internal controls
Internal Audit
ExternalAudit
Regulationbodies
Source:
Guidance on the 8th EU Company Law Directive: Published by the European Confederation of Institute of Internal Auditing (ECIIA) and the
Federation of European Risk Management Association (Ferma)
International Standards for the Professional Practice of Internal Auditing (IPPF): Published by the Institute of Internal Auditors (IIA)
executive center (2012)
Risk management
Security
Quality
Expert audits
Medical
Compliance
LE CONTRÔLE INTERNE ET PROJETS SI
POURQUOI LA DEUXIÈME LIGNE - LES CONSTATS
la première ligne – l’équipe projet défend un calendrier de
réalisation trop optimiste destiné à convaincre la direction
d’aller de l’avant; attendre qu’un projet prenne beaucoup de
retard pour agir et espérer qu’ajouter des ressources
tardivement va “sauver les meubles”.
la troisième ligne - l’audit interne. Par définition, un projet est
une organisation temporaire, qui « change continuellement de
dimension et qui vit continuellement des changements. Les
constats valides à un instant t peuvent être remis en question à
t+1. L’audit en publiant ses recommandations à t+1 s’expose à
ce qu’elles soient perçues comme tardives.
05/02/2015 19
Board / Audit Committee
Senior management
1st line
of
defense
2d line of
defense
3rd line
of
defense
Operational management
Internal controls
Internal Audit
External
Audit
Regulation
bodies
Risk management
Security
Quality
Expert audits
Medical
Compliance
LE CONTRÔLE INTERNE ET PROJETS SI
L’APPROCHE
L’approche de contrôle interne appliquée aux projets est
conduite par une équipe indépendante : en « deuxième
ligne » :
Indépendante de l’organisation informatique
Reportant au métier
Publiant ses recommandations le plus rapidement possible – dès la
clôture de la revue.
05/02/2015 20
Board / Audit Committee
Senior management
1st line
of
defense
2d line of
defense
3rd line
of
defense
Operational management
Internal controls
Internal Audit
External
Audit
Regulation
bodies
Risk management
Security
Quality
Expert audits
Medical
Compliance
CONTRÔLE INTERNE ET PROJETS SI
L’APPROCHE
Il s’agit d’une évaluation formelle de tout ou partie de l’état de du
site déployé.
Une approche basée sur les risques et évaluant les différentes
activités liées au projet.
Zones d’investigation / critères d’évaluation /risques majeurs
Alignement besoins métiers,
Portefeuille projet,
Organisation projet et ressources crittiques,
Planification et suivi de projet,
Infrastructure
Le facteur humain : conduite du changement
Contrôle interne,….
Evaluation quelque soit la phase du cycle de vie, depuis la phase pré-
projet jusqu’au post démarrage.
05/02/2015 21
Review topic Site 1 Site 2 Blocking
1. Evaluation préliminaire du site
2. Organisation projet Yes
3. Ressources critiques Yes
4. Mesure de valeur ajoutée
5. Caratographie applicative Yes
6. Maitrise des contrats Yes
7. Contrôle interne Yes
8. Gestion de projet
9. Business Continuity
10. Conduite du changement
11. Politique sécurité Yes
12. Infrastructure
Yes
Critical High Medium Low
EXEMPLE DE TABLE DES RISQUES
| 22
Remediation
plan
To be
formalized
Server room
AED, SLA
Qualification
IPL to be hired
Backfill
Stéphanie BENZAQUINE (Mazars)
Virginie CUVILLIEZ (EY)
V - TÉMOIGNAGE SELON LA TROISIÈME LIGNE DE
MAITRISE
05/02/2015 23
3EME LIGNE DE DÉFENSE
INTRODUCTION
Les revues de projets informatiques sont partie intégrante du périmètre de
l’audit interne et des diligences de commissariat aux comptes
L’audit interne intègre dans son périmètre, l’ensemble des applications
implémentées et audite tous les points de contrôle de la méthodologie projet.
Un des objectifs principal est de s’assurer que le nouveau système répond aux
exigences utilisateurs et que ceux-ci sont « prêts » à démarrer.
La démarche des commissaires aux comptes est fondée sur une approche
risques/contrôles et pourra s’appuyer sur les travaux déjà réalisés par l’audit
interne (reliance)
Ainsi, les objectifs de revue des CAC sont spécifiques :
Périmètre flux financiers
Année fiscale
Critères d’analyse de risques (I et T)
05/02/2015 24
3EME LIGNE DE DÉFENSE
LES RISQUES
Les questions que se posent le commissaire aux comptes :
Gestion des incidents
Les incidents qui se produisent lors du
démarrage de la nouvelle solution : ont-ils été
résolus ? Quel a été leur impact sur la
comptabilité et les processus opérationnels ?
Paramétrage du progiciel
Le paramétrage du progiciel (structures
organisationnelles, comptes opérationnels,
centres de profit, domaines d’activité, etc.) :
permettent-ils un niveau de maîtrise suffisant
des processus métiers et permettent-ils de
comptabiliser correctement les mouvements ?
Migration des données :
La reprise des données est-elle exhaustive ? La
qualité des données permet-elle de traiter les
flux métiers et financiers ?
Sécurité logique
La refonte des profils utilisateurs garantit-elle que
les droits d’accès utilisateurs correspondent aux
domaines de responsabilités métiers ? Par ailleurs,
entre le démarrage et la mise en place des
nouveaux profils utilisateurs construits à partir des
activités métiers, des opérations non autorisées
n’auront-elles pas été générées ?
1
3
2
4
Dispositif de contrôle interne
Le projet a-t-il suffisamment intégré lors de sa conception et de la mise en
œuvre de la solution, les dispositifs de contrôle interne (contrôles
embarqués au sein du système, contrôles manuels basés sur le système,
contrôles d’interface…) participant à la fiabilité de l’information financière et
la conformité aux référentiels réglementaire et comptable (IFRS, …) ?
5
3EME LIGNE DE DÉFENSE
QUELQUES ÉCUEILS SOUVENT IDENTIFIÉS…
La documentation des contrôles réalisés lors de la migration de données est
insuffisamment formalisée
Le commissaire aux comptes réalisent des travaux complémentaires d’analyse de données permettant
d’obtenir une assurance raisonnable sur l’exhaustivité et l’intégrité des données intégrées dans le
nouveau système (ex stocks)
Attention : il n’est jamais demandé de rétro-documenter
Les analyses d’accès au système montrent une inadéquation des accès par rapport aux
fiches de poste et des incompatibilités de séparation des tâches
Les contrôles compensatoires adressant les risques de fraude doivent être testés
Les contrôles embarqués ou paramétrages sont insuffisamment
Les incidents post – démarrage sont très nombreux et de sévérité importante
démontrant potentiellement une inadéquation de la solution aux besoins métiers
05/02/2015 26
27
Qui est l’AFAI ?
Association Française de l’Audit
et du conseil Informatiques
Lancée en 1982
Chapitre français de l’ISACA
Association de référence des métiers des
systèmes d’information
Près de 1 000 professionnels en France
Association internationale
110 000 membres dans 180 pays
L’AFAI conduit ses travaux autour des deux piliers que sont la confiance dans les
systèmes d’information et la création de valeur, tout en décloisonnant la réflexion par la
prise en compte des enjeux stratégiques, managériaux, humains, technologiques,
financiers ou juridiques.
05/02/2015 27
05/02/2015 28

Contenu connexe

En vedette

SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu
 
DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems
 DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems
DATA FORUM MICROPOLE 2015 - Atelier Stibo SystemsMicropole Group
 
Turning internal audit into the data analytics epicenter for your organization
Turning internal audit into the data analytics epicenter for your organizationTurning internal audit into the data analytics epicenter for your organization
Turning internal audit into the data analytics epicenter for your organizationACL Services
 
Gouvernance et architecture des données de l’Entreprise Digitale
Gouvernance et architecture des données de l’Entreprise DigitaleGouvernance et architecture des données de l’Entreprise Digitale
Gouvernance et architecture des données de l’Entreprise DigitaleAntoine Vigneron
 
Advancing internal audit analytics
Advancing internal audit analytics Advancing internal audit analytics
Advancing internal audit analytics PwC
 
Audit tresorerie
Audit tresorerieAudit tresorerie
Audit tresorerieMamy83
 
Security and Audit for Big Data
Security and Audit for Big DataSecurity and Audit for Big Data
Security and Audit for Big DataNicolas Morales
 
Big data landscape map collection by aibdp
Big data landscape map collection by aibdpBig data landscape map collection by aibdp
Big data landscape map collection by aibdpAIBDP
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Data Governance by stealth v0.0.2
Data Governance by stealth v0.0.2Data Governance by stealth v0.0.2
Data Governance by stealth v0.0.2Christopher Bradley
 
Finance and Audit Predictive Analytics
Finance and Audit Predictive AnalyticsFinance and Audit Predictive Analytics
Finance and Audit Predictive AnalyticsBob Samuels
 
Audit Qualité des Données
Audit Qualité des DonnéesAudit Qualité des Données
Audit Qualité des DonnéesArielleMeffre
 
The Future of Internal Audit through data analytics
The Future of Internal Audit through data analyticsThe Future of Internal Audit through data analytics
The Future of Internal Audit through data analyticsGrant Thornton LLP
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
A chart of the big data ecosystem
A chart of the big data ecosystemA chart of the big data ecosystem
A chart of the big data ecosystemMatt Turck
 
Big Data Landscape 2016
Big Data Landscape 2016 Big Data Landscape 2016
Big Data Landscape 2016 Matt Turck
 
Ibm data governance framework
Ibm data governance frameworkIbm data governance framework
Ibm data governance frameworkkaiyun7631
 

En vedette (20)

Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
 
DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems
 DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems
DATA FORUM MICROPOLE 2015 - Atelier Stibo Systems
 
sdfss
sdfsssdfss
sdfss
 
Turning internal audit into the data analytics epicenter for your organization
Turning internal audit into the data analytics epicenter for your organizationTurning internal audit into the data analytics epicenter for your organization
Turning internal audit into the data analytics epicenter for your organization
 
Gouvernance et architecture des données de l’Entreprise Digitale
Gouvernance et architecture des données de l’Entreprise DigitaleGouvernance et architecture des données de l’Entreprise Digitale
Gouvernance et architecture des données de l’Entreprise Digitale
 
Advancing internal audit analytics
Advancing internal audit analytics Advancing internal audit analytics
Advancing internal audit analytics
 
Audit tresorerie
Audit tresorerieAudit tresorerie
Audit tresorerie
 
Security and Audit for Big Data
Security and Audit for Big DataSecurity and Audit for Big Data
Security and Audit for Big Data
 
Big data landscape map collection by aibdp
Big data landscape map collection by aibdpBig data landscape map collection by aibdp
Big data landscape map collection by aibdp
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Audit interne
Audit interneAudit interne
Audit interne
 
Data Governance by stealth v0.0.2
Data Governance by stealth v0.0.2Data Governance by stealth v0.0.2
Data Governance by stealth v0.0.2
 
Finance and Audit Predictive Analytics
Finance and Audit Predictive AnalyticsFinance and Audit Predictive Analytics
Finance and Audit Predictive Analytics
 
Audit Qualité des Données
Audit Qualité des DonnéesAudit Qualité des Données
Audit Qualité des Données
 
The Future of Internal Audit through data analytics
The Future of Internal Audit through data analyticsThe Future of Internal Audit through data analytics
The Future of Internal Audit through data analytics
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
A chart of the big data ecosystem
A chart of the big data ecosystemA chart of the big data ecosystem
A chart of the big data ecosystem
 
Big Data Landscape 2016
Big Data Landscape 2016 Big Data Landscape 2016
Big Data Landscape 2016
 
Ibm data governance framework
Ibm data governance frameworkIbm data governance framework
Ibm data governance framework
 

Similaire à Et si les projets informatiques réussissaient grâce au contrôle interne!

Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
veille digimind
veille digimindveille digimind
veille digimindicdes
 
Cm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingCm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingidigroupe6
 
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNHermann NGUIMO
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Web-conférence - Lean Engineering
Web-conférence - Lean EngineeringWeb-conférence - Lean Engineering
Web-conférence - Lean EngineeringXL Groupe
 
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...ENSIBS
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiquesPMI Lévis-Québec
 
Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets.pptCours 5_Gestion de projets.ppt
Cours 5_Gestion de projets.pptjouaiti1
 
Cours 5_Gestion de projets Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets Cours 5_Gestion de projets.pptCours 5_Gestion de projets Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets Cours 5_Gestion de projets.pptAminEchcherradi
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 

Similaire à Et si les projets informatiques réussissaient grâce au contrôle interne! (20)

Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
veille digimind
veille digimindveille digimind
veille digimind
 
Cm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingCm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ing
 
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCN
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Web-conférence - Lean Engineering
Web-conférence - Lean EngineeringWeb-conférence - Lean Engineering
Web-conférence - Lean Engineering
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
Methode Agile
Methode Agile Methode Agile
Methode Agile
 
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...
Agile Tour Paris 2014 : "La Contractualisation Agile C'est Possible" à La Pos...
 
Ad pocket guide_coso_juillet2013
Ad pocket guide_coso_juillet2013Ad pocket guide_coso_juillet2013
Ad pocket guide_coso_juillet2013
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
 
Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets.pptCours 5_Gestion de projets.ppt
Cours 5_Gestion de projets.ppt
 
Cours 5_Gestion de projets Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets Cours 5_Gestion de projets.pptCours 5_Gestion de projets Cours 5_Gestion de projets.ppt
Cours 5_Gestion de projets Cours 5_Gestion de projets.ppt
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 

Plus de Antoine Vigneron

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASAntoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notairesAntoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@PostAntoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreAntoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...Antoine Vigneron
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieAntoine Vigneron
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteAntoine Vigneron
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simpliciteAntoine Vigneron
 

Plus de Antoine Vigneron (20)

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 

Et si les projets informatiques réussissaient grâce au contrôle interne!

  • 1. Association Française de l’Audit et du conseil Informatiques
  • 2. AGENDA Introduction I - Présentation de l’enquête II - Modèle des trois lignes de maitrise III - Témoignage selon la première ligne de maitrise IV - Témoignage selon la seconde ligne de maitrise V - Témoignage selon la troisième ligne de maitrise Conclusion 05/02/2015 2
  • 3. INTRODUCTION Rappel des objectifs du groupe de travail Benchmark des pratiques d’entreprise en matière de contrôle interne sur les projets informatique Proposition d’une méthodologie. Périmètre et limites Ce qui est traité : Rappel des principes de contrôle interne informatique Recueil de pratiques d’entreprises : contrôle interne et projet informatique sous forme d’interview et/ou témoignage, enquête (article, séminaire,..) Cas concrets de mise en œuvre Ce qui n’est pas traité : les principales méthodes et activités de projet informatiques 05/02/2015 3
  • 4. Nicolas BESNARD (Mazars) Romuald DOREY I - PRÉSENTATION DE L’ENQUÊTE 05/02/2015 4
  • 5. ENQUÊTE CONTRÔLE INTERNE INTRODUCTION Rappel du contexte: Taux d’échec des projets très élevé malgré les enjeux des projets SI Objectifs de l’enquête: Établir un panorama des pratiques de contrôle interne mises en place dans les organisations pour sécuriser les projets SI. Enquête réalisée sous la forme d’un questionnaire envoyé aux membres de l’AFAI en juillet dernier Taux de réponse: 5% (44 retours sur ~900 adhérents) 05/02/2015 5
  • 6. ENQUÊTE CONTRÔLE INTERNE TRAME DU QUESTIONNAIRE 5 grands thèmes : 05/02/2015 6 Général Pré-projet Projet Post-projet Axes d’amélioration et présentation du répondant 1 2 3 4 5
  • 7. ENQUÊTE CONTRÔLE INTERNE ENSEIGNEMENTS MAJEURS des organisations ont des référentiels (conduite de projet, gestion des risques, de contrôle interne) mais peu les appliquent et vérifient leur bonne application Seules des organisations ont des contrôles sur certains points clés d’un projet (ressources allouées, budget, analyse des risques) Seules des organisation ont des statistiques internes sur les taux de réussite des projets Confusion entre les notions de CI et les méthodes de conduite de projet qui intègrent leur propres contrôles. 05/02/2015 7
  • 8. Muriel SOUDRY (Sanofi) II - LE MODÈLE DES TROIS LIGNES DE MAITRISE 05/02/2015 8
  • 10. Marcel DAVID (Contrôle Général des Armées) III - TÉMOIGNAGE SELON LA PREMIÈRE LIGNE DE MAITRISE 05/02/2015 10
  • 11. 1ÈRE LIGNE DE DÉFENSE LE CONTRÔLE INTERNE 05/02/2015 11 Objectif Organisation et processus Analyse des risques Choix de traitement des risques Mise en place d’un dispositif de CI « Le contrôle interne est l’ensemble des dispositifs formalisés et permanents (…) qui visent à maîtriser les risques liés à la réalisation des objectifs (…) » L’aboutissement d’une démarche logique et impérative
  • 12. 1ÈRE LIGNE DE DÉFENSE LE PROJET SI DANS LA PERSPECTIVE DU CONTRÔLE INTERNE 05/02/2015 12 DG DSI Etudes DAF DRH DO DG DSI DAF DRH DO Projets
  • 13. Projet # 1 Projet # 2 Projet # 3 1ÈRE LIGNE DE DÉFENSE EXEMPLES DE CONTRÔLE INTERNE APPLIQUÉ AUX PROJETS SI 05/02/2015 13 Gestion du portefeuille Pilotage d’un projet Risques d’un projet
  • 14. 1ÈRE LIGNE DE DÉFENSE CONCLUSION 05/02/2015 14 Objectif Organisation et processus Analyse des risques Choix de traitement des risques Mise en place d’un dispositif de CI DG DSI DAF DRH DO Projets DG DSI Etudes DAF DRH DO Le CI est l’aboutissement d’une démarche logique La première responsabilité des opérationnels : bien s’organiser
  • 15. Gina GULLA-MENEZ (Sanofi) IV - TÉMOIGNAGE SELON LA DEUXIÈME LIGNE DE MAITRISE 05/02/2015 15
  • 16. LES ENJEUX DES PROJETS DE DÉPLOIEMENT LES FACTEURS DE SUCCÈS Selon différentes études* : 25% des projets sont abandonnés avant d’être mis en production, 50% des projets ont un dépassement budgétaire de l’ordre de 100 % 75% des projets sont considérés comme des échecs opérationnels Causes de succès Implication des utilisateurs qui expriment clairement leur objectifs (alignement stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les exigences fonctionnelles formalisées doivent être prise en compte ! Implication au bon niveau du management dans le soutien du projet (gouvernance, arbitrage) Fréquence des tests et des bilans (milestones). * Standish Group: « Chaos Chronicle », Oxford University 16
  • 17. LES ENJEUX DES PROJETS DE DÉPLOIEMENT 2 groupes de raisons d’échec, liés à : Une faiblesse de l’organisation du projet, maîtrise des charges et des délais Une mauvaise réponse au besoin Causes d’échec: Evolution non maîtrisée des spécifications en cours de réalisation Le facteur humain : conduite du changement Gestion de projet insuffisante: estimation imprécise, non révisée en cours de projet, un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”. Un contrat « mal cadré » Absence de gestion des risques actualisée tout au long du projet. 17
  • 18. Board / Audit Committee Senior management OPTIMISER NOTRE GOUVERNANCE LES 3 LIGNES DE DÉFENSE (CONTRÔLE) 1ere ligne de contrôle 2eme ligne de contrôle 3eme ligne de contrôle Operational management Internal controls Internal Audit ExternalAudit Regulationbodies Source: Guidance on the 8th EU Company Law Directive: Published by the European Confederation of Institute of Internal Auditing (ECIIA) and the Federation of European Risk Management Association (Ferma) International Standards for the Professional Practice of Internal Auditing (IPPF): Published by the Institute of Internal Auditors (IIA) executive center (2012) Risk management Security Quality Expert audits Medical Compliance
  • 19. LE CONTRÔLE INTERNE ET PROJETS SI POURQUOI LA DEUXIÈME LIGNE - LES CONSTATS la première ligne – l’équipe projet défend un calendrier de réalisation trop optimiste destiné à convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”. la troisième ligne - l’audit interne. Par définition, un projet est une organisation temporaire, qui « change continuellement de dimension et qui vit continuellement des changements. Les constats valides à un instant t peuvent être remis en question à t+1. L’audit en publiant ses recommandations à t+1 s’expose à ce qu’elles soient perçues comme tardives. 05/02/2015 19 Board / Audit Committee Senior management 1st line of defense 2d line of defense 3rd line of defense Operational management Internal controls Internal Audit External Audit Regulation bodies Risk management Security Quality Expert audits Medical Compliance
  • 20. LE CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE L’approche de contrôle interne appliquée aux projets est conduite par une équipe indépendante : en « deuxième ligne » : Indépendante de l’organisation informatique Reportant au métier Publiant ses recommandations le plus rapidement possible – dès la clôture de la revue. 05/02/2015 20 Board / Audit Committee Senior management 1st line of defense 2d line of defense 3rd line of defense Operational management Internal controls Internal Audit External Audit Regulation bodies Risk management Security Quality Expert audits Medical Compliance
  • 21. CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE Il s’agit d’une évaluation formelle de tout ou partie de l’état de du site déployé. Une approche basée sur les risques et évaluant les différentes activités liées au projet. Zones d’investigation / critères d’évaluation /risques majeurs Alignement besoins métiers, Portefeuille projet, Organisation projet et ressources crittiques, Planification et suivi de projet, Infrastructure Le facteur humain : conduite du changement Contrôle interne,…. Evaluation quelque soit la phase du cycle de vie, depuis la phase pré- projet jusqu’au post démarrage. 05/02/2015 21
  • 22. Review topic Site 1 Site 2 Blocking 1. Evaluation préliminaire du site 2. Organisation projet Yes 3. Ressources critiques Yes 4. Mesure de valeur ajoutée 5. Caratographie applicative Yes 6. Maitrise des contrats Yes 7. Contrôle interne Yes 8. Gestion de projet 9. Business Continuity 10. Conduite du changement 11. Politique sécurité Yes 12. Infrastructure Yes Critical High Medium Low EXEMPLE DE TABLE DES RISQUES | 22 Remediation plan To be formalized Server room AED, SLA Qualification IPL to be hired Backfill
  • 23. Stéphanie BENZAQUINE (Mazars) Virginie CUVILLIEZ (EY) V - TÉMOIGNAGE SELON LA TROISIÈME LIGNE DE MAITRISE 05/02/2015 23
  • 24. 3EME LIGNE DE DÉFENSE INTRODUCTION Les revues de projets informatiques sont partie intégrante du périmètre de l’audit interne et des diligences de commissariat aux comptes L’audit interne intègre dans son périmètre, l’ensemble des applications implémentées et audite tous les points de contrôle de la méthodologie projet. Un des objectifs principal est de s’assurer que le nouveau système répond aux exigences utilisateurs et que ceux-ci sont « prêts » à démarrer. La démarche des commissaires aux comptes est fondée sur une approche risques/contrôles et pourra s’appuyer sur les travaux déjà réalisés par l’audit interne (reliance) Ainsi, les objectifs de revue des CAC sont spécifiques : Périmètre flux financiers Année fiscale Critères d’analyse de risques (I et T) 05/02/2015 24
  • 25. 3EME LIGNE DE DÉFENSE LES RISQUES Les questions que se posent le commissaire aux comptes : Gestion des incidents Les incidents qui se produisent lors du démarrage de la nouvelle solution : ont-ils été résolus ? Quel a été leur impact sur la comptabilité et les processus opérationnels ? Paramétrage du progiciel Le paramétrage du progiciel (structures organisationnelles, comptes opérationnels, centres de profit, domaines d’activité, etc.) : permettent-ils un niveau de maîtrise suffisant des processus métiers et permettent-ils de comptabiliser correctement les mouvements ? Migration des données : La reprise des données est-elle exhaustive ? La qualité des données permet-elle de traiter les flux métiers et financiers ? Sécurité logique La refonte des profils utilisateurs garantit-elle que les droits d’accès utilisateurs correspondent aux domaines de responsabilités métiers ? Par ailleurs, entre le démarrage et la mise en place des nouveaux profils utilisateurs construits à partir des activités métiers, des opérations non autorisées n’auront-elles pas été générées ? 1 3 2 4 Dispositif de contrôle interne Le projet a-t-il suffisamment intégré lors de sa conception et de la mise en œuvre de la solution, les dispositifs de contrôle interne (contrôles embarqués au sein du système, contrôles manuels basés sur le système, contrôles d’interface…) participant à la fiabilité de l’information financière et la conformité aux référentiels réglementaire et comptable (IFRS, …) ? 5
  • 26. 3EME LIGNE DE DÉFENSE QUELQUES ÉCUEILS SOUVENT IDENTIFIÉS… La documentation des contrôles réalisés lors de la migration de données est insuffisamment formalisée Le commissaire aux comptes réalisent des travaux complémentaires d’analyse de données permettant d’obtenir une assurance raisonnable sur l’exhaustivité et l’intégrité des données intégrées dans le nouveau système (ex stocks) Attention : il n’est jamais demandé de rétro-documenter Les analyses d’accès au système montrent une inadéquation des accès par rapport aux fiches de poste et des incompatibilités de séparation des tâches Les contrôles compensatoires adressant les risques de fraude doivent être testés Les contrôles embarqués ou paramétrages sont insuffisamment Les incidents post – démarrage sont très nombreux et de sévérité importante démontrant potentiellement une inadéquation de la solution aux besoins métiers 05/02/2015 26
  • 27. 27 Qui est l’AFAI ? Association Française de l’Audit et du conseil Informatiques Lancée en 1982 Chapitre français de l’ISACA Association de référence des métiers des systèmes d’information Près de 1 000 professionnels en France Association internationale 110 000 membres dans 180 pays L’AFAI conduit ses travaux autour des deux piliers que sont la confiance dans les systèmes d’information et la création de valeur, tout en décloisonnant la réflexion par la prise en compte des enjeux stratégiques, managériaux, humains, technologiques, financiers ou juridiques. 05/02/2015 27