1. Cycle des conférences AFAI à l'Université Paris Dauphine
3 avril 2014
Le contrôle interne comme levier essentiel de la maîtrise
d’un projet informatique
Muriel Soudry
Site readiness manager, Sanofi Affaires Industrielles
Gina Gullà-Ménez
Directeur IS Compliance et Contrôle interne, Sanofi Affaires Industrielles
2. Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’approche
3. Points de vigilance, points de repères
Conclusion
Questions réponses
2
3. 3
NOTRE
HISTOIRE
• SANOFI EN BREF
Hoechst
Marion
Roussel
1997
Roussel
1911
Marion
1950
Hoechst
1863
Synthélabo
1970
Delalande
1924
Delagrange
1931
Robert
& Carrière
1901
Dausse
1834
BMP Sunstone, Medley,
Merial, Nepentes, Zentiva,
Kendricks, Oenobiol, Chattem,
Acambis, Symbion, Shantha
Biotechnics
2008-2010
Genzyme
2011
Sanofi-aventis
2004
Aventis
1999
Sanofi-Synthélabo
1999
Sanofi Pasteur
2004
Sterling
1901
Midy
1718
Clin Midy
1971
Chinoin
1919
Sanofi
1973
Connaught
1922
Rorer
1910
Rhône-Poulenc
Rorer
1990
Institut
Mérieux
1897
Wittman
& Poulenc
1860
Une longue
tradition
dans le domaine
de la santé
4. Sanofi - bref historique
• Sanofi est l’héritier d’une très longue histoire qui s’illustre avec les grands progrès
scientifiques des XIXème et XXème siècles et la notoriété des principaux laboratoires
industriels qui ont marqué l’évolution de la chimie, de la pharmacie et de la médecine :
– En 1718, les Laboratoires Midy sont créés par une famille de pharmaciens.
– En 1980, le groupe Clin Midy est racheté par Sanofi.
– Les Laboratoires Dausse sont fondés en 1834 et les Laboratoires Robert & Carrière en 1901. Leur
alliance donnera naissance en 1970 au Groupe Synthélabo.
– En 1860 le pharmacien Etienne Poulenc crée la société Wittmann et Poulenc Jeune. En 1910, le
laboratoire Rorer voit le jour. La fusion des deux sociétés donnera naissance en 1990 à Rhône-Poulenc
Rorer.
– En 1863, un groupe de chimistes, de commerçants et d’ouvriers se lance dans la fabrication de colorants
dans une petite usine située à l'ouest de la ville de Höchst, en Allemagne. C’est l’origine de la société
Hoescht qui, par son alliance le laboratoire Roussel fondé en 1911, donnera Hoechst Marion Roussel.
– En 1887, Marcel Mérieux, élève de Louis Pasteur, fonde l’Institut Biologique Mérieux qui deviendra en
2004 Sanofi Pasteur, la division vaccin du groupe Sanofi.
• Et plus récemment
– Les groupes Sanofi et Synthélabo fusionnent en mai 1999 pour constituer un acteur majeur de la
pharmacie. Il s’agit de deux groupes jeunes, fondés respectivement en 1973 pour Sanofi et en 1970 pour
Synthélabo.
– En décembre 1999, les groupes Rhône-Poulenc et Hoechst Marion Roussel, officialisent par leur fusion
la création d’Aventis. Le groupe franco-allemand se situe dans les tous premiers mondiaux.
– En août 2004 Sanofi-Synthélabo prend le contrôle d’Aventis. La fusion-absorption, finalisée le 31
décembre de la même année, donne naissance à Sanofi-Aventis.
– Le 6 mai 2011, Sanofi-Aventis simplifie son nom en Sanofi
4
5. 1973 à 2008 2009 à 2011
Leader de santé diversifié
300fusions et acquisitions
10 110 000
dans 100 pays
Employés
Santé, Beauté, Nutrition
Source : estimation collaborateurs mars 2011, présentation RI - 6 sept. 2011
23acquisitions incluant Genzyme
+61
+2créations de co-entreprises
soit 23Mds€investis
accords de licence
Sanofi – évolution et chiffres clés
5
PRÉSENTATION INSTITUTIONNELLE 2011
30,4 Mds€
de CA en 2010
6. Autres
pays
3 730
Marchés
émergents
10 957
États-Unis
10 433
Europe
occidentale
7 831
CHIFFRE D’AFFAIRES
TOTAL PAR ZONE
GÉOGRAPHIQUE
(en millions d’euros)
6
Chiffres au 31/12/2013
DETAIL DES
PLATEFORMES DE
CROISSANCE (in million euros)
(Croissance à taux de change
constants)
Marchés émergents €10 957M
Solutions diabète € 6 568M
Vaccins € 3 716M
Santé Grand Public € 3 004M
Genzyme € 2 142M
Santé animale € 1 985M
Produits innovants € 705M
CHIFFRE
D’AFFAIRES NET
(en millions d’euros)
32 951 m €
• CHIFFRES CLÉS
2013
Chiffres au 31/12/2013
7. Sanofi – stratégie
• Une stratégie centrée sur les besoins du patient
– Caractérisée par une rupture de son modèle commercial traditionnel et par une profonde transformation
de l’environnement de la R&D, l’industrie pharmaceutique se situe à un véritable carrefour :
• contraintes réglementaires strictes
• essor des génériques
• contrôle des coûts
– Aussi la demande en solutions de santé n’a jamais été aussi forte. Enfin et surtout, jamais les
opportunités scientifiques et technologiques n’ont été aussi prometteuses. Sanofi est à une époque
charnière de son histoire entre défi et opportunité.
• Au carrefour de toutes les opportunités
– 2012, le Groupe perd 30 % de son chiffre d’affaires sans pouvoir prétendre à une compensation
équivalente de la part des produits de son portefeuille de développement.
– Notre stratégie s’articule autour de trois grandes priorités :
• accroître l’innovation en Recherche et Développement,
• saisir les opportunités de croissance externe,
• s’adapter aux enjeux et aux opportunités à venir.
• Une croissance durable et adaptée aux réalités locales
– Notre stratégie repose sur une politique structurée d’acquisitions et de partenariats adaptée à la réalité
de chaque pays et qui renforcent nos six plates-formes de croissance :
• les marchés émergents, les vaccins humains, la santé grand public, le diabète, les produits innovants et la santé
animale.
• avec Genzyme, Sanofi renforce son expertise dans le domaine de la biotechnologie et des maladies rares.
7
9. Sanofi – Affaires Industrielles
• Les « Affaires Industrielles » développent, produisent, conditionnent,
stockent et distribuent les produits du Groupe.
• Sanofi a choisi d’intégrer la fabrication de ses produits afin d’en
maitriser la qualité et la distribution.
• Stratégie des « Affaires Industrielles » : développer son portefeuille
et construire sa diversification, aussi bien dans les pays émergents
que sur les autres marchés.
• Aujourd’hui, un maillage industriel complet, avec :
– des sites globaux dédiés à la fabrication de dispositifs médicaux, de systèmes
et de produits hautement technologiques,
– des sites régionaux dédiés à des marques qui réalisent des volumes
importants sur des produits de grande consommation et des usines locales
tournées vers leur marché national.
• La tendance actuelle consiste en une synergie industrielle, en
rapprochant les activités pharmaceutiques et vaccins et en adaptant
l’outil de production à la mutation vers les biotechnologies.
9
10. UN RÉSEAU
INDUSTRIEL
MONDIAL
•Une forte présence géographique pour répondre aux
besoins de nos clients
AMÉRIQUE DU NORD
AMÉRIQUE LATINE
11 sites
7 PHARMA (Solides)
2 SANTÉ ANIMALE
2 VACCINS
52 sites
39 PHARMA (Solides,
Injectables, Chimie et Biotechnologies)
2 GENZYME
8 SANTÉ ANIMALE
3 VACCINS
EUROPE
20 sites
3 PHARMA (Solides)
8 GENZYME
5 SANTÉ ANIMALE
4 VACCINS
7 sites
7 PHARMA (Solides)
AFRIQUE
MOYEN-ORIENT
ASIE-PACIFIQUE
22 sites
14 PHARMA (Solides et
Chimie)
1 GENZYME
3 SANTÉ ANIMALE
4 VACCINS
112 SITES DE
FABRICATION DANS
40 PAYS
(40 sites dans les pays
émergents)
1
0
4 milliards
de boîtes produites
et distribuées par an
~45 000
collaborateurs centrés
sur la satisfaction des
patients et des clients
11. Sanofi - DSI des Affaires Industrielles
• Mission de la DSI des Affaires Industrielles
• Assurer la bonne maîtrise du SI qui repose sur un socle commun de
standards et de solutions informatiques harmonisées.
• Les systèmes d’informations des activités industrielles de Sanofi
ont une importance stratégique pour l’entreprise :
– ils supportent la majeure partie des processus issus du
savoir-faire de nos équipes et composant notre patrimoine.
– Ils constituent un levier essentiel de performance pour
l’industriel
– Ils permettent d’apporter un avantage concurrentiel dans un
environnement de plus en plus compétitif.
• Une usine sanofi est très largement automatisée (60 % à
80 % en moyenne).
• Le paysage applicatif est le résultat des fusions
/acquisitions.
11
12. Sanofi - IS Internal Control activities
• Indépendamment de la DSI industrielle, un département IS
Internal control & compliance intervenant selon 2 axes :
Preventive approach
Includes all steps and controls taken before any
problem occurs
* Guideline, Communication notes, training,
* SOD matrix definition, support IS to implement in Athena
transaction allowing sites to check SOD conflicts,
* site readiness – internal control applied to project
Post-implementation approach
Includes all steps and controls taken to
detect and to correct any error or
irregularities that may have occurred
* Internal Control Campaign with a use of
the CSI tool (data mining)
* SOX Testing
| 12
12
13. Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’approche
3. Points de vigilance, points de repères
Conclusion
Questions réponses
13
14. sanofi
Organisation et contrôle interne
• Le contrôle interne est une préoccupation historique du Groupe
• Sanofi et ses filiales françaises sont soumises à la loi de sécurité financière du 1er
août 2003 .
• sanofi est également tenu de respecter les dispositions de la loi Sarbanes Oxley
du 30 juillet 2002.
sanofi s’appuie sur les principes des 3 lignes de maîtrise. En 2013 L'AMRAE* et
l'IFACI* ont publié une position commune pour formaliser un modèle de maîtrise
des risques, avec le soutien de l'IFA*.
• Ce modèle fournit un référentiel utile pour l’articulation des différentes fonctions et
prérogatives.
• AMRAE - L'Association pour le management des risques et des assurances de l'entreprise (AMRAE)
• IFACI - l'Institut français de l'audit et du contrôle interne (IFACI)
• IFA -
14
15. Sanofi - Le Modèle des 3 lignes de maîtrise
15
Régulateurs
Auditexterne
gestiondesrisquescontrôleinterne
assuranceconformité
Modèle des trois lignes de maîtrise
Conseil d’administration / Comité d’audit
Direction générale
1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise
S.I.
R.H.
Management
opérationnel
Juridique
Finance
Audit
interne
HSE
Contrôle
de gestion
...
16. Le modèle 3 lignes de maîtrise
• Ce modèle considère que les risques sont pris en premier lieu par les opérationnels
et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des
risques constituent donc la « 1ère ligne de maîtrise ».
• La « 2nde ligne de maîtrise » est tenue par les fonctions spécialisées en gestion
des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent
pour la prise de risque, sans être toutefois exposées directement aux activités à
risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du
Pilier 2 (gestion des risques, contrôle interne et conformité).
• L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation
est fondée par une analyse des risques de l’entreprise fournit une « assurance
raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il
constitue ainsi la « 3ème ligne de maîtrise ».
16
17. Les enjeux sanofi
Le contrôle interne
• Adoptée en juillet 2002 par le Congrès américain, la Loi
Sarbanes-Oxley (SOA) implique que les Présidents des
entreprises cotées aux Etats-Unis certifient leurs comptes auprès
de la Securities and Exchanges Commission (SEC) l'organisme
de régulation des marchés financiers US.
• Guidée par trois grands principes : l'exactitude et l'accessibilité
de l'information, la responsabilité des gestionnaires et
l'indépendance des vérificateurs/auditeurs
• Son objectif : restaurer la confiance des investisseurs et de
renforcer la gouvernance d'entreprise, largement entamée par les
nombreux scandales financiers de 2001 et 2002
17
18. 18
Sanofi - IT Internal control framework : COSO/CObIT
• Le CObIT ¹ Modèle de référence pour la
gouvernance des technologies de l'information,
permet de comprendre et de gérer les risques liés
aux systèmes d'information.
La SEC a retenu l'infrastructure de contrôle
interne COSO ². COBIT était la meilleure voie
pour évaluer la conformité aux exigences du
COSO.
• ISO 17799 - Catalogue de bonnes pratiques
assurant un client que ses informations sont
gérées de manière sécurisée par son fournisseur.
Complément de réponse aux obligations de
sécurité des systèmes d'information.
• ISO 15504 et ITIL.
¹ CObIT - Control Objectives for Information and related Technology
² COSO - Committee of Sponsoring Organizations
| 18
19. 1919
Sanofi - Sarbanes Oxley, Internal Control and
Compliance time perspective
2005-2009Before 2005 2010 2011
Sarbanes Oxley did not
exist
Neither IS Internal audit
Reaching compliance
Internal Tests
External Tests
Fix deficiencies
Reaching compliance
Internal Tests
External Tests
(CACs)
Fix deficiencies
+ Security Diagnostic (fix
deficiencies)
Reaching compliance
Internal Tests
External Tests
(CACs)
Fix deficiencies
+ Security Diagnostic
(preventive)
++ integration of know how
Since 2012
Reaching compliance
Internal Tests
External Tests
Fix deficiencies
+ regular internal controls
++ Focus on internal control
and articulated model
20. 20
Les enjeux sanofi
Les grands projets de déploiement
les facteurs de succès
• Selon différentes études* :
– 25% des projets sont abandonnés avant d’être mis en production,
– 50% des projets ont un dépassement budgétaire de l’ordre de 100 %
– 75% des projets sont considérés comme des échecs opérationnels
• Causes de succès
– Implication des utilisateurs qui expriment clairement leur objectifs (alignement
stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les
exigences fonctionnelles formalisées doivent être prise en compte !
– Implication au bon niveau du management dans le soutien du projet (gouvernance,
arbitrage)
– Fréquence des tests et des bilans (milestones).
* Standish Group: « Chaos Chronicle », Oxford University
21. 21
Les enjeux sanofi
Les grands projets de déploiement
• 2 groupes de raisons d’échec, liés à :
– Une faiblesse de l’organisation du projet, maîtrise des charges et des délais
– Une mauvaise réponse au besoin
• Causes d’échec:
– Evolution non maîtrisée des spécifications en cours de réalisation
– Le facteur humain : conduite du changement
– Gestion de projet insuffisante:
• estimation imprécise, non révisée en cours de projet,
• un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant;
• attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des
ressources tardivement va “sauver les meubles”.
– Un contrat « mal cadré »
– Absence de gestion des risques actualisée tout au long du projet.
22. Les enjeux sanofi
Les grands projets de déploiement
The Standish Group.CHAOS
• Les ponts romains de l'Antiquité reposaient sur des structures peu efficaces. Au regard des normes
modernes, ils utilisaient trop de matériaux, et par conséquent, cela générait beaucoup de travail. Au fil des
années, nous avons appris à construire des ponts plus efficacement, en utilisant moins de matériaux et en
générant moins de travail pour effectuer la même tâche."
Tom Clancy (La Somme de Toutes les Peurs)
• L'une des raisons principales pour lesquelles les ponts se construisent dans les temps, en respectant le
budget et sans s’écrouler , est que leur conception est extrêmement détaillée. La conception est figée et
l'entrepreneur ne peut quasiment pas modifier les spécifications. Toutefois, à notre époque où tout évolue
rapidement, une conception figée ne permet pas de s'adapter aux nouvelles contraintes du Métier. Par
conséquent, un modèle plus souple doit être utilisé. Cela é été considéré comme une justification de l'échec
du développement logiciel.
Mais il y a une autre différence entre les défaillances des logiciels et celles des ponts, au delà des 3000 ans
d'expérience. Quand un pont s'effondre, une enquête est effectuée et un rapport est rédigé pour expliquer les
causes. Dans le secteur informatique, les défaillances sont couvertes, ignorées et/ou justifiées. En
conséquence, nous continuons à faire les mêmes erreurs, encore et encore …
22
23. 23
Sanofi - L’approche
La deuxième ligne de maîtrise
• Une deuxième ligne de maîtrise
– Une équipe indépendante
– Une évaluation formelle de tout ou partie de la santé du projet
– Une approche basée sur les risques et évaluant les différentes activités liées au
projet.
• Zones d’investigation / critères d’évaluation /risques majeurs
– Alignement besoins métiers,
– Portefeuille projet,
– Organisation projet et ressources crittiques,
– Activités projet : ustilisateurs clé,
– Planification et suivi de projet,
– Infrastructure
– Conduite du changement
– Contrôle interne,….
• Les projets sont évalués quelque soit la phase du cycle de vie, depuis la phase pré-
projet jusqu’au post démarrage.
24. 24
Les points de contrôle d’un projet
Expression
des besoins
Etude
/Conception
Réalisation Mise en
œuvre
Avant-projet Post-projet
La gouvernance / sponsorship
La gestion des risques projet
La gestion des besoins utilisateurs
La conduite du changement (formation, communication)
La maîtrise des appros, des fournisseurs
La gestion de projet (planification, suivi)
…….
Cahier
des
charges
Dossier
de
conception
Etude d’opportunité
AcceptationPlan et
rapport de
tests +
Documentatio
n
Bilan
Plan de formation
Plans
Plans
25. 25
Le « contrôle interne » appliqué au projet
• En phase pré-projet , en fonction des invariants, l’évaluateur doit comprendre le cadre de la
conduite du projet
– S’appuyer sur les éléments d’entrées : évaluation de la maturité de l’organisation, des
infrastructures, de la sécurité
• Les invariants/points de contrôle sont :
– Le découpage : phases clé
– Les jalons du projet
– Les documents clé
– Les autres fondamentaux (cf causes d’échec et de succès):
• La gouvernance projet
• La gestion des risques
• La gestion des besoins utilisateurs
• La conduite du changement
• La maîtrise des appros, des fournisseurs
• La gestion de projet
26. 26
Découpages et jalons
• Découpage d'un projet
– décomposé en lots ou en sous-projets ou encore en chantiers, afin d’obtenir des sous-ensembles dont la
complexité est plus facilement maîtrisable.
– en phases. Chaque phase est accompagnée d’une fin d’étape destinée à formaliser la validation de la phase
écoulée avant de passer à la phase suivante. (jalon)
•
• Jalonnement
– L’approche par jalons est un acte de direction, qui permet de bien structurer le projet dans le temps, en y
apportant de nombreuses garanties pour le maître d’œuvre : sa progression est calendairement mieux suivie.
– Les jalons permettent de faire le point sur le projet et de n’engager la phase suivante que si tout va bien. (Go/no
Go) Les décisions actées lors de cette revue de changement de phase sont des éléments stables sur lesquelles
peut être bâtie la suite du projet.
27. 27
Les phases et les jalons clé
• Phase avant-projet : la réflexion sur l’intérêt du projet en lui-même, en terme d’opportunité stratégique
Jalon de Lancement du projet : on décide (au niveau “politique”) qu’il y a lieu de lancer un projet spécifique, et on y consacre un chef de projet,
une équipe, des moyens, un responsable et un budget.
• Phase d’Expression du besoin : la définition de ce que l’on attend (les fonctions attendues), le périmètre, ce sur quoi on va
évaluer le projet, ce qui est important et ce qui l’est moins.
Jalon de Validation du besoin : ainsi les évolutions dans l’approche des besoins pourront être tracées et justifieront d’éventuels ajustements du
plan projet.
• Phase d’Etude/Conception : l’étude de ce qui est techniquement et économiquement faisable. Consultation des maîtres d’œuvres
possibles, comparaison des propositions techniques et financières des réalisateurs possibles, spécification papier
Jalon du Choix de la solution, fin de conception : signature du contrat qui précise ce qui sera fait et la manière de le faire.
• Phase de Développement/réalisation : le chantier est lancé, les travaux avancent pour transférer le “produit papier” dans le réel.
Jalon de Livraison (et recette) Acceptation : on remet le produit entre les mains du client/utilisateur, qui en devient propriétaire (et peut émettre
des réserves sur les écarts constatés). C’est la fin du projet proprement dit.
• Phase de post-projet ou Exploitation, qui commence le plus souvent par la levée des réserves, et voit la fin de la relation
contractuelle.
28. 28
Les documents-clés
• Tels que présentés en bleu dans le schéma précédent,
seuls une dizaine d’entre eux sont indispensables et ce
quel que soit le type de projet
– Ils doivent être validés et signés
– Ils doivent être disponibles à un moment précis du projet : un
plan qualité intervenant à la fin du projet n’a plus d’utilité
– Pour certains d’entre eux, ils doivent être tenus à jour non
seulement durant tout le projet mais aussi après la mise en
œuvre.
29. Review topic Site 1 Site 2 Blocking
1. Site assessment action plan follow-up
2. Project organization Yes
3. Critical resources and skills Yes
4. Business benefits/ KPI – strategic monitoring
5. Current and targeted application landscape Yes
6. AED / external and internal contracts Yes
7. Training : project management methodology & internal
control
Yes
8. Availability of project documentation
9. Business Continuity criticality
10. Change management (Declic)
11. Safety/ security policy status Yes
12. Infrastructure
Yes
Critical High Medium Low
Risks table / pre kick off table
| 29
Remediation plan
To be
formalized
Server room
AED, SLA
Qualification
IPL to be hired
Backfill
31. Et Agile dans tout ça
• Toujours d’après le Standish Group des délais plus petits, avec des
livraisons des composants logiciels plus tôt et plus fréquentes, augmentent
le taux de réussite.
• Le raccourcissement des délais se traduit par un processus itératif de
conception, prototypage, développement, test et déploiement de petits
éléments : "développement incrémental" par opposition à l'ancienne notion de
"développement global" d'un logiciel.
– l'utilisateur est impliqué plus tôt,
– chaque composant a un propriétaire ou un petit groupe de propriétaires,
– chaque composant logiciel a un énoncé clair et précis et un ensemble d'objectifs.
– les attentes sont établies de manière réaliste.
Les composants logiciels et les petits projets ont tendance à être moins complexes. La
complexité génère de la confusion et augmente les coûts
31
32. Méthode traditionnelle
• Les méthodes traditionnelles prônent un enchaînement séquentiel des différentes
activités, depuis les spécifications jusqu’à la validation du système, selon un
planning préétabli. Elles visent à mieux prédire la façon dont les choses « devraient
» se passer.
• Cette vision rassurante est bien loin de la réalité des projets. Les activités
d’ingénierie ne sauraient se succéder strictement sans qu’aucun changement ne
vienne perturber un planning qui n’a de durée de vie que le temps de le prononcer.
• La conséquence est que plus de 80% des projets exécutés selon ces
méthodologies connaissent des retards, des dépassements budgétaires, quand ils
ne finissent pas en échec total, pour n’avoir pas su satisfaire les attentes des
clients.
32
33. Pratiques Agile (1/2)
33
De nombreuses méthodes Agiles (XP*, Crystal, FDD**, Scrum**pour les plus connues) apporte
son propre lot de techniques et de pratiques, les unes concernant plutôt le pilotage de projet, les
autres, plutôt l’ingénierie.
• l’implication forte du client à travers le rôle de Product Owner,
• l’utilisation d’un Product Backlog pour gérer dynamiquement les fonctions du produit à
réaliser, et les priorités métier associées ; le Product Backlog est élaboré en début de projet,
et révisé autant que nécessaire,
• le Scrum Meeting, est une courte réunion quotidienne (environ 15’) qui rassemble tous les
membres de l’équipe de développement. Cette réunion permet aux personnes d’échanger
des informations sur l’avancement des tâches, signaler les problèmes rencontrés et
demander de l’aide si nécessaire,
• le Retrospective Meeting est une réunion de fin d’itération, focalisée sur les événements
survenus et l’analyse causale des dysfonctionnements, des pertes de productivité et de
qualité. Un ou deux axes d’amélioration seront privilégiés de façon consensuelle et se
traduiront par des tâches dans le backlog de l’itération suivante,
34. Pratiques Agile (2/2)
34
• l’Iteration Planning, en début d’itération, permet à l’ensemble de l’équipe projet de découvrir la liste des
fonctions à implémenter, d’identifier et d’estimer les tâches de réalisation,
• la Vélocité est un indicateur qui mesure le « volume » de logiciel produit par l’équipe au cours d’une
itération. Ce « volume » est estimé préalablement pour chaque fonction (ou User Story),
• le Burndown Chart est une représentation graphique de l’avancement des travaux au cours d’une
itération : la courbe représente simplement le reste à faire (en charge) tel qu’il est estimé chaque jour par
l’équipe. Le point initial représente l’effort total estimé pour l’itération pour l’ensemble de l’équipe,
généralement en heures, l’Intégration Continue consiste à compiler, assembler, vérifier et tester
l’ensemble du code source dès qu’un nouvel élément est mis à disposition, soit, idéalement, une à
plusieurs fois par jour,
• le Test Driven Development (TDD) consiste à écrire les programmes de tests unitaires avant de
programmer les fonctions elles-mêmes, puis d’adapter le code source testé unitairement jusqu’à obtenir
un code de qualité (Refactoring),
• le Test Driven Requirement (TDR) permet de spécifier le logiciel par l’exemple - les exigences
logicielles sont exprimées sous forme de cas de test,
• enfin le Pair Programming consiste à programmer en binôme dans le but d’être plus efficace en termes
de conception, de revue de code et de transfert de compétences.
35. Extreme Programming (XP - 1999)
Son but principal est de réduire les coûts du changement. Les principes ne sont pas nouveaux :
ils existent dans l'industrie du logiciel depuis des dizaines d'années et dans les méthodes de
management depuis encore plus longtemps. L'originalité de la méthode est de les pousser à
l'extrême :
• puisque la revue de code est une bonne pratique, elle sera faite en permanence (par un
binôme)
• puisque les tests sont utiles, ils seront faits systématiquement avant chaque mise en œuvre
• puisque la conception est importante, elle sera faite tout au long du projet - refactoring
• puisque la simplicité permet d'avancer plus vite, nous choisirons toujours la solution la plus
simple
• puisque la compréhension est importante, nous définirons et ferons évoluer ensemble des
métaphores
• puisque l'intégration des modifications est cruciale, nous l'effectuerons plusieurs fois par jour
• puisque les besoins évoluent vite, nous ferons des cycles de développement très rapides
pour nous adapter au changement
35
38. DevOps
• Devops est un mouvement visant à aligner le système d'information sur les besoins de
l'entreprise. Ce que l'on pourrait résumer en travailler ensemble pour produire de la valeur
pour l'entreprise.
• Les initiateurs du mouvement sont principalement des administrateurs systèmes férus de
méthode agile, évoluant en entreprise. Certains avaient même lancé l'agile-infrastructure.
• Le principe de base de devops part du constat suivant : si une équipe d'exploitation est
primée sur la stabilité du système alors que l'équipe de développement est récompensée à
chaque nouvelle fonctionnalité livrée, il est évident que ces deux équipes vont se retrouver
en conflit perpétuel.
• Devops est la concaténation des trois premières lettres du mot anglais development
(développement) et de l'abréviation usuelle (ops) du mot anglais operations (exploitation),
deux fonctions de la gestion des systèmes informatiques qui ont souvent des objectifs
contradictoires. Le mot a été inventé par Patrick Debois[1] durant l'organisation des premiers
devopsdays à Gand en Belgique, en octobre 2009.
38
39. Plan de la présentation
1. Introduction - contexte Sanofi
2. Le contrôle interne et le projet
• Les enjeux de Sanofi
• L’approche
3. Points de vigilance, points de repères
Conclusion
Questions réponses
39
40. 40
Points de vigilance
• Le projet est une organisation temporaire, qui « change
continuellement de dimension et qui vit continuellement des
changements. »
– Les constats valides à un instant t peuvent être remis en question à t+1
– Les recommandations doivent être publiées le plus rapidement possible
; dans le cas contraire, elles pourraient être perçues comme tardives
• Périmètres complexes avec un grand nombre d’acteur :
– Structure matricielle
41. 41
Point de repère
• La réalisation d’un projet de grande ampleur n’est possible qu’avec un personnel travaillant
à temps plein pour le projet
• Un projet important doit bénéficier d’un appui politique correspondant
• Identifier correctement les fournisseurs et vérifier leur engagements contractuels avec le
projet
• Pour un projet informatique : il est essentiel de réorganiser et d’harmoniser avant
d’informatiser
• Ne pas négliger le contexte du projet car son succès lui est directement lié :
– Forte implication des utilisateurs
– Qualification des personnes intervenant dans le projet
– Degré de standardisation dans l’entreprise
– Maturité de l’environnement de contrôle interne
42. Un mot de conclusion
• La période actuelle joue un rôle de révélateur et
d’accélérateur pour le renforcement des mécanismes de
contrôle interne informatique.
• La qualité de ces mécanismes (et des résultats) reste
tributaire de la mobilisation de l’ensemble des acteurs
impliqués et passe par une information / une formation aux
enjeux du contrôle interne.
• Enfin, en développant une meilleure appréhension des
facteurs de risques, l’entreprise améliore sa capacité à
saisir les opportunités nouvelles.
42
44. Webographie et bibliographie
• ADELI (Association pour la Maitrise des Systèmes d’Information) : www.adeli.org
• AFAI (Association Française de l’Audit et du Conseil Informatiques ) : www.afai.fr
• AFNOR (Association Française de NORmalisation) : www.afnor.fr
• COSO (Committee of Sponsoring Organizations of the Treadway Commission) :
www.coso.org
• IFACI (Institut Français de l’Audit et du Contrôle Interne) : www.ifaci.com
• ISACA (Information Systems Audit and Control Association) : www.isaca.org
• ISO (Organisation Internationale de Normalisation) : www.iso.org
• ITIL (Committee of Sponsoring Organizations of the Treadway Commission) : www.itil.co.uk
• PMI (Project Management Institute) : www.pmi.org
• SEI (Software Engineering Institute) : www.sei.cmu.edu
• Site dédié à l’audit des systèmes d’information www.theiia.org/itaudit
• Audit Net, site dédié au partage de connaissance des auditeurs www.auditnet.org
• CNCC Compagnie Nationale des Commissaires aux Comptes www.cncc.fr
44