Upload
antoine-vigneron
View
390
Download
2
Embed Size (px)
Citation preview
Association Française de l’Audit
et du conseil Informatiques
AGENDA
Introduction
I - Présentation de l’enquête
II - Modèle des trois lignes de maitrise
III - Témoignage selon la première ligne de maitrise
IV - Témoignage selon la seconde ligne de maitrise
V - Témoignage selon la troisième ligne de maitrise
Conclusion
05/02/2015 2
INTRODUCTION
Rappel des objectifs du groupe de travail Benchmark des pratiques d’entreprise en matière de contrôle interne sur les projets informatique
Proposition d’une méthodologie.
Périmètre et limites Ce qui est traité :
Rappel des principes de contrôle interne informatique
Recueil de pratiques d’entreprises : contrôle interne et projet informatique sous forme d’interview et/ou témoignage, enquête (article, séminaire,..)
Cas concrets de mise en œuvre
Ce qui n’est pas traité : les principales méthodes et activités de projet informatiques
05/02/2015 3
Nicolas BESNARD (Mazars) Romuald DOREY
I - PRÉSENTATION DE L’ENQUÊTE
05/02/2015 4
ENQUÊTE CONTRÔLE INTERNE INTRODUCTION
Rappel du contexte: Taux d’échec des projets très élevé malgré les enjeux des projets SI
Objectifs de l’enquête: Établir un panorama des pratiques de contrôle interne mises en place dans les organisations pour sécuriser les projets SI.
Enquête réalisée sous la forme d’un questionnaire envoyé aux membres de l’AFAI en juillet dernier
Taux de réponse: 5% (44 retours sur ~900 adhérents)
05/02/2015 5
ENQUÊTE CONTRÔLE INTERNE TRAME DU QUESTIONNAIRE
5 grands thèmes :
05/02/2015 6
Général
Pré-projet Projet Post-projet
Axes d’amélioration et présentation du répondant
1
2 3 4
5
ENQUÊTE CONTRÔLE INTERNE ENSEIGNEMENTS MAJEURS
des organisations ont des référentiels (conduite de projet, gestion des risques, de contrôle interne) mais peu les appliquent et vérifient leur bonne application
Seules des organisations ont des contrôles sur certains points clés d’un projet (ressources allouées, budget, analyse des risques)
Seules des organisation ont des statistiques internes sur les taux de réussite des projets
Confusion entre les notions de CI et les méthodes de conduite de projet qui intègrent leur propres contrôles.
05/02/2015 7
Muriel SOUDRY (Sanofi)
II - LE MODÈLE DES TROIS LIGNES DE MAITRISE
05/02/2015 8
05/02/2015 9
Marcel DAVID (Contrôle Général des Armées)
III - TÉMOIGNAGE SELON LA PREMIÈRE LIGNE DE MAITRISE
05/02/2015 10
1ÈRE LIGNE DE DÉFENSE LE CONTRÔLE INTERNE
05/02/2015 11
Objectif Organisation et processus
Analyse des risques
Choix de traitement des risques
Mise en place d’un dispositif
de CI
« Le contrôle interne est l’ensemble des dispositifs formalisés et
permanents (…) qui visent à maîtriser les risques liés à la réalisation
des objectifs (…) »
L’aboutissement d’une démarche logique et impérative
1ÈRE LIGNE DE DÉFENSE LE PROJET SI DANS LA PERSPECTIVE DU CONTRÔLE INTERNE
05/02/2015 12
DG
DSI
Etudes
DAF DRH DO
DG
DSI DAF DRH DO
Projets
Projet # 1
Projet # 2
Projet # 3
1ÈRE LIGNE DE DÉFENSE EXEMPLES DE CONTRÔLE INTERNE APPLIQUÉ AUX PROJETS SI
05/02/2015 13
Gestion du portefeuille
Pilotage d’un projet
Risques d’un projet
1ÈRE LIGNE DE DÉFENSE CONCLUSION
05/02/2015 14
Objectif Organisation et processus
Analyse des risques
Choix de traitement des risques
Mise en place d’un dispositif
de CI
DG
DSI DAF DRH DO
Projets
DG
DSI
Etudes
DAF DRH DO
Le CI est l’aboutissement d’une démarche logique
La première responsabilité des opérationnels : bien s’organiser
Gina GULLA-MENEZ (Sanofi)
IV - TÉMOIGNAGE SELON LA DEUXIÈME LIGNE DE MAITRISE
05/02/2015 15
LES ENJEUX DES PROJETS DE DÉPLOIEMENT LES FACTEURS DE SUCCÈS
Selon différentes études* :
25% des projets sont abandonnés avant d’être mis en production, 50% des projets ont un dépassement budgétaire de l’ordre de 100 % 75% des projets sont considérés comme des échecs opérationnels
Causes de succès Implication des utilisateurs qui expriment clairement leur objectifs (alignement stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les exigences fonctionnelles formalisées doivent être prise en compte ! Implication au bon niveau du management dans le soutien du projet (gouvernance, arbitrage) Fréquence des tests et des bilans (milestones). * Standish Group: « Chaos Chronicle », Oxford University
16
LES ENJEUX DES PROJETS DE DÉPLOIEMENT
2 groupes de raisons d’échec, liés à : Une faiblesse de l’organisation du projet, maîtrise des charges et des délais Une mauvaise réponse au besoin
Causes d’échec: Evolution non maîtrisée des spécifications en cours de réalisation Le facteur humain : conduite du changement Gestion de projet insuffisante:
estimation imprécise, non révisée en cours de projet, un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”.
Un contrat « mal cadré » Absence de gestion des risques actualisée tout au long du projet.
17
Board / Audit Committee
Senior management
OPTIMISER NOTRE GOUVERNANCE LES 3 LIGNES DE DÉFENSE (CONTRÔLE)
1ere ligne de contrôle 2eme ligne de contrôle 3eme ligne de contrôle
Operational
management
Internal controls
Internal Audit
Exte
rna
l Au
dit
Reg
ula
tion
bo
die
s
Source: Guidance on the 8th EU Company Law Directive: Published by the European Confederation of Institute of Internal Auditing (ECIIA) and the
Federation of European Risk Management Association (Ferma) International Standards for the Professional Practice of Internal Auditing (IPPF): Published by the Institute of Internal Auditors (IIA)
executive center (2012)
Risk management
Security
Quality
Expert audits
Medical
Compliance
LE CONTRÔLE INTERNE ET PROJETS SI POURQUOI LA DEUXIÈME LIGNE - LES CONSTATS
la première ligne – l’équipe projet défend un calendrier de réalisation trop optimiste destiné à convaincre la direction d’aller de l’avant; attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des ressources tardivement va “sauver les meubles”.
la troisième ligne - l’audit interne. Par définition, un projet est une organisation temporaire, qui « change continuellement de dimension et qui vit continuellement des changements. Les constats valides à un instant t peuvent être remis en question à t+1. L’audit en publiant ses recommandations à t+1 s’expose à ce qu’elles soient perçues comme tardives.
05/02/2015 19
Board / Audit Committee
Senior management
1st line
of
defense
2d line of
defense
3rd line
of
defense
Operational management
Internal controls
Internal Audit
Exte
rnal
Au
dit
Reg
ula
tion
bo
die
s
Risk management
Security
Quality
Expert audits
Medical
Compliance
LE CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE
L’approche de contrôle interne appliquée aux projets est conduite par une équipe indépendante : en « deuxième ligne » :
Indépendante de l’organisation informatique
Reportant au métier
Publiant ses recommandations le plus rapidement possible – dès la clôture de la revue.
05/02/2015 20
Board / Audit Committee
Senior management
1st line
of
defense
2d line of
defense
3rd line
of
defense
Operational management
Internal controls
Internal Audit
Exte
rnal
Au
dit
Reg
ula
tion
bo
die
s
Risk management
Security
Quality
Expert audits
Medical
Compliance
CONTRÔLE INTERNE ET PROJETS SI L’APPROCHE
Il s’agit d’une évaluation formelle de tout ou partie de l’état de du site déployé. Une approche basée sur les risques et évaluant les différentes activités liées au projet. Zones d’investigation / critères d’évaluation /risques majeurs
Alignement besoins métiers, Portefeuille projet, Organisation projet et ressources crittiques, Planification et suivi de projet, Infrastructure Le facteur humain : conduite du changement Contrôle interne,….
Evaluation quelque soit la phase du cycle de vie, depuis la phase pré-projet jusqu’au post démarrage.
05/02/2015 21
Review topic Site 1 Site 2 Blocking
1. Evaluation préliminaire du site
2. Organisation projet Yes
3. Ressources critiques Yes
4. Mesure de valeur ajoutée
5. Caratographie applicative Yes
6. Maitrise des contrats Yes
7. Contrôle interne Yes
8. Gestion de projet
9. Business Continuity
10. Conduite du changement
11. Politique sécurité Yes
12. Infrastructure Yes
Critical High Medium Low
EXEMPLE DE TABLE DES RISQUES
| 22
Remediation plan
To be formalized
Server room
AED, SLA
Qualification
IPL to be hired
Backfill
Stéphanie BENZAQUINE (Mazars) Virginie CUVILLIEZ (EY)
V - TÉMOIGNAGE SELON LA TROISIÈME LIGNE DE MAITRISE
05/02/2015 23
3EME LIGNE DE DÉFENSE INTRODUCTION
Les revues de projets informatiques sont partie intégrante du périmètre de l’audit interne et des diligences de commissariat aux comptes L’audit interne intègre dans son périmètre, l’ensemble des applications implémentées et audite tous les points de contrôle de la méthodologie projet. Un des objectifs principal est de s’assurer que le nouveau système répond aux exigences utilisateurs et que ceux-ci sont « prêts » à démarrer. La démarche des commissaires aux comptes est fondée sur une approche risques/contrôles et pourra s’appuyer sur les travaux déjà réalisés par l’audit interne (reliance) Ainsi, les objectifs de revue des CAC sont spécifiques :
Périmètre flux financiers Année fiscale Critères d’analyse de risques (I et T)
05/02/2015 24
3EME LIGNE DE DÉFENSE LES RISQUES
Les questions que se posent le commissaire aux comptes :
Gestion des incidents
Les incidents qui se produisent lors du
démarrage de la nouvelle solution : ont-ils été
résolus ? Quel a été leur impact sur la
comptabilité et les processus opérationnels ?
Paramétrage du progiciel
Le paramétrage du progiciel (structures
organisationnelles, comptes opérationnels,
centres de profit, domaines d’activité, etc.) :
permettent-ils un niveau de maîtrise suffisant
des processus métiers et permettent-ils de
comptabiliser correctement les mouvements ?
Migration des données :
La reprise des données est-elle exhaustive ? La
qualité des données permet-elle de traiter les
flux métiers et financiers ?
Sécurité logique
La refonte des profils utilisateurs garantit-elle que
les droits d’accès utilisateurs correspondent aux
domaines de responsabilités métiers ? Par ailleurs,
entre le démarrage et la mise en place des
nouveaux profils utilisateurs construits à partir des
activités métiers, des opérations non autorisées
n’auront-elles pas été générées ?
1
3
2
4
Dispositif de contrôle interne
Le projet a-t-il suffisamment intégré lors de sa conception et de la mise en
œuvre de la solution, les dispositifs de contrôle interne (contrôles
embarqués au sein du système, contrôles manuels basés sur le système,
contrôles d’interface…) participant à la fiabilité de l’information financière et
la conformité aux référentiels réglementaire et comptable (IFRS, …) ?
5
3EME LIGNE DE DÉFENSE QUELQUES ÉCUEILS SOUVENT IDENTIFIÉS…
La documentation des contrôles réalisés lors de la migration de données est insuffisamment formalisée
Le commissaire aux comptes réalisent des travaux complémentaires d’analyse de données permettant d’obtenir une assurance raisonnable sur l’exhaustivité et l’intégrité des données intégrées dans le nouveau système (ex stocks) Attention : il n’est jamais demandé de rétro-documenter
Les analyses d’accès au système montrent une inadéquation des accès par rapport aux fiches de poste et des incompatibilités de séparation des tâches
Les contrôles compensatoires adressant les risques de fraude doivent être testés
Les contrôles embarqués ou paramétrages sont insuffisamment Les incidents post – démarrage sont très nombreux et de sévérité importante démontrant potentiellement une inadéquation de la solution aux besoins métiers
05/02/2015 26
27
Qui est l’AFAI ?
Association Française de l’Audit
et du conseil Informatiques
Lancée en 1982
Chapitre français de l’ISACA
Association de référence des métiers des systèmes d’information
Près de 1 000 professionnels en France
Association internationale
110 000 membres dans 180 pays
L’AFAI conduit ses travaux autour des deux piliers que sont la confiance dans les systèmes d’information et la création de valeur, tout en décloisonnant la réflexion par la prise en compte des enjeux stratégiques, managériaux, humains, technologiques, financiers ou juridiques.
05/02/2015 27
05/02/2015 28