Audit Des Projets Informatiques1204

8/10/2019 Audit Des Projets Informatiques1204

http://slidepdf.com/reader/full/audit-des-projets-informatiques1204 1/38

en partenariat avec

16 novembre 2006

L’audit des projets informatiques



>> L’audit des projets informatiquesPage 2 - 16 novembre 2006

Institut del’Audit Interne

Audit des projets informatiques

De l'évaluation des processus projets à l'audit deprojet : retours d'expériences.

Quels référentiels, quelles pratiques ?Les points de vigilances, les points de repères

***************************************Gina Gullà-Ménezsanofi-aventisDirection de l’Audit Informatique Directeur de l’Audit des Processus et des Projets Informatiques





Plan de la présentation

1. Introduction

2. Evaluation des processus projetContextesRéférentiels utilisésPratiques

3. Audit des projets informatiquesContexte sanofi-aventisRéférentiels utilisés

Déroulement d’une mission d’audit Points de vigilance, points de repères

4. Questions réponses





Mise à profit des dispositifs d’audit qualitédans le monde de l’audit interne

Partager des r etours d'expériences…..

L‘expérience, voilà le maître en toutes choses. ( Jules César )

Chacune de ces expériences est liée à son contexte.Deux points de vue successif *:• Auditeur Qualité (Amélioration continue)• Auditeur Interne

(*) – Prise de position IFACI « AUDIT INTERNE – QUALITÉ » - mai 2004

Objectif de la présentation

http://www.evene.fr/celebre/biographie/jules-cesar-760.php

http://www.evene.fr/celebre/biographie/jules-cesar-760.php






1. Introduction



Déroulement d’une mission d’auditPoints de vigilance, points de repères






Evaluation des processus projetsLes contextes

Direction Qualité dans une SSII (certification ISO9000)

Programme d’amélioration des développementslogiciel d’un grand groupe industriel (SW -CMM)

Programme d’amélioration des processuslogiciel chez un grand opérateur télécom (ISO

15504-Spice)





Evaluer les processus projetsLes référentiels utilisés

ISO ¹ 9000 – Modèle d’assurance qualité utilisé pour la certification des systèmes demanagement de la qualité. Les normes de la famille ISO 9000 constituent un ensemble deréférences de qualité incontesté sur le plan mondial.

ISO 15504 (SPICE²) -Norme pour l’évaluation de processus logiciels, synthèse desdémarches d ’évaluation et d ’amélioration de processus logiciel : CMM, BootStrap,TRILLIUM, est cohérente avec les normes existantes : ISO 9000, ISO 12207. Elle estapplicable à un large domaine d ’applications, d’affaires, de tailles d’organisation deprojets. Elle permet de comparer des entités semblables et elle produit des profils deprocessus cotés selon une échelle à six niveaux.

CMMI ³ est un cadre de référence développé par le SEI ⁴ visant à guider les organisationsdans leur démarche d'amélioration des processus informatiques. Ce modèle permet, enfonction des pratiques clefs mises en place par une organisation, de déterminer sonniveau de maturité globale (sur une échelle de 1 à 5) et son profil de capacité (échelle de 0à 5 par processus).

¹ ISO : International Organization for Standardization² SPICE : Software Process Improvement Capability dEtermination³ CMMI : Capability Maturity Model Integration⁴ SEI : Software Engineering Institute





Evaluer les processus projetsLes référentiels utilisés

Critères Communs (ISO 15408) a pris le relais des ITSEC ¹ dans le processusd’évaluation du niveau de sécurité des logiciels et systèmes d’information. Ils définissentles procédures et les mesures techniques normalisées à prendre en compte dans lecycle de vie d’un produit logiciel.

ITIL ² recense, synthétise et détaille les meilleures pratiques pour la fourniture deservices informatiques. ITIL donne des recommandations, des informations détaillées

sur les processus, des descriptions de postes, des règles de gestion.ITIL couvre le domaine de la production informatique.

Le PMBOK ³ est un référentiel des connaissances en gestion de projet promu par leProject Management Institute (PMI). Il décrit des connaissances et des méthodesapplicables à la majorité des projets, qu'ils soient informatiques ou non, sur lesquelles ily a un consensus général sur leur valeur et leur utilité. Il donne un lexique commun etdes méthodes de communication.

¹ ITSEC Information Security Evaluation Criteria² ITIL Information Technology Infrastructure Library³ PMBOK Project Management Body of Knowledge





Evaluation des processus projetsLes pratiques

Direction Qualité dans une SSII (certification ISO 9000)• Un système qualité certifié pour démontrer sa mise en place : « donner confiance en externe en

situation contractuelle »

• Des audits qualité des projets informatiques :

– Référentiel : ISO 1011 ¹ , Système Qualité de la SSII

– Objectifs :

• Etape 1 Conformité au système qualité

• Etape 2 Évaluation du besoin d’actions d’amélioration ou decorrection -

• ISO 9001

– Point fort : caractère quasi universel

– Point faible : très générale, a été complétée par des guides ou exigences spécifiques audomaine d’application (métier informatique)

¹ ISO 1011-1,-2 et-3 a été remplacé par ISO 19011 : Lignes directrices relatives aux audits de systèmes de management de laqualité et/ou de management environnemental






Programme d’amélioration des développementslogiciel d’un grand groupe industriel

• Démarche de certification ISO 9000

• Un référentiel interne de développement logiciel fondésur DOD 2167 A¹

• Précurseur de l’utilisation du SW-CMM

• D’autres normes applicables au développementinformatique : Critères Communs,..

¹ DOD 2167 A – Defense System Software Development





Le SEI pour le DoD ¹ a développé un modèle de maturité du processus (CMM) et uneméthode d'évaluation, et à partir de 1993 le niveau 3 est demandé dans les appels d'offresEn 1993, lancement d’un programme d’amélioration pour toutes les Unités avec pourobjectif :

• obtenir le niveau 2 SW-CMM (environ 24 à 36 mois)• continuer l'amélioration des processus en vue d'atteindre le niveau 3 (24 mois de

plus)Ce programme doit améliorer :

• la prise en compte du besoin client en impliquant les équipes logicielles dans laphase de définition des systèmes,

• la maîtrise des coûts et délais en s'appuyant sur des pratiques efficaces deconduite et planification des projets informatiques,

• la maîtrise des logiciels livres et de leurs évolutions.Organe de coordination des Unités est constitué :

• Un corps d'évaluateurs• Des réunions mensuelles entre SEPG - Software Engineering Process Group

¹ DoD – Department of Defense




>> L’audit des projets informatiquesPage 12 - 16 novembre 2006Institut del’Audit Interne

Le niveau CMM n'est pas certifiable au sens où on l'entend habituellement pour d'autresreconnaissances de la Qualité.L'appréciation de l'atteinte d'un niveau résulte d'une « auto-évaluation » réalisée par uneéquipe interne de 5 ou évaluateurs formés. La bonne application de la méthode estvérifiée, pendant l'évaluation, par le « lead-assessor » accrédité par le SEI.Un processus d'évaluation strictement défini, avec

• une analyse de la documentation• des interviews (tirage au sort des interviewés)• des debriefings provisoires• une présentation des constats finals et du niveau atteint

A l'issue de cette évaluation, un rapport rédigé par l'équipe d'évaluation, discuté et admispar les évalués, est remis à la Direction de l'organisation: il précise les forces et lesfaiblesses identifiées et indique le niveau atteintLes résultats sont contrôlés par le SEI





Amélioration des processus de développement

La progression dans les niveauxcorrespond à une diminutionprogressive des risques etcorrélativement à une augmentationde la maîtrise du processus dedéveloppement du logiciel

Atteinte du niveau 2 = La maîtrisenécessaire est en place pourpouvoir reproduire des succès sur

des projets de même type. Lesdirectives guident la mise en placedu processus existant




Evaluation des processusLes pratiques

Le SW-CMM a été largement utilisé (il n’est plus maintenu): • Plus de 50 pays• 3000 évaluations référencées au SEI• 2000 entreprises

Aujourd’hui, CMMI regroupe : • SW-CMM (software), SE-CMM (Système), IPD-CMM (Integrated Product

Development), SA-CMM (Software Acquisition)• 2 représentations : par niveau de maturité, par aptitude (par processus)• Scampi : méthode d’évaluation

CMMI et ISO 9001 sont basés sur une approche processus et d'amélioration continuemais :

• CMMI traite de la gestion des risques, contrairement à l'ISO 9001• une grande partie des exigences de l'ISO 9001 sont couvertes par l’atteinte du

niveau 2 CMMI ; certaines exigences ISO 9001 se retrouvent plus spécifiquementau niveau 3 CMMI.





Programme d’amélioration des processus informatiques chez ungrand opérateur télécom (ISO 15504)

• Objectifs : – Amélioration des processus des projets informatiques – Contribuer au développement des services offerts au client – Donner un avantage compétitif au Groupe.

• Comment : – Le recensement des meilleures pratiques informatiques pourconstruire le référentiel

– Une cartographie des processus informatiques : les processussont regroupés selon la norme ISO 12207 ¹

– Des évaluations de maturité des processus projets avec lemodèle ISO SPICE pour identifier les points forts et les pointsfaibles

– Des projets d’amélioration de processus pour définir etgénéraliser les actions d’amélioration

¹ ISO 12207 - Processus du cycle de vie du logiciel.




Validation

Les besoinsdu client

La satisfactiondu client

Conduire un projetinformatique

Ressourceshumaines

Achat

Stratégie DSI

Capitalisation

Pilotagesuivi

Cartographieapplicative

Déployer

Exploiter

Evaluation des processus projetsLa cartographie des processusinformatiques




Modèle

Evaluation des processus projetsProcessus concernés

5 processus prioritaires (identiques à toutes les unités) Gestion de projet Gestion des exigences Gestion de configuration Gestion de la sous-traitance Assurance Qualité

+ 3 processus complémentaires

Maintenance (ENG 2 : maintenance du système et du logiciel)Gestion documentaire (SUP 1: documentation)Validation (ENG 1.6 : essai du logiciel)

Les processus prioritaires font l'objet d'évaluations. Objectif intermédiaire au bout de 12 mois : Gestion de projet - niveau 2 Gestion de configuration - niveau 2 Gestion des exigences - niveau 1

Assurance qualité - niveau 1 Acquisition - niveau 3Les évaluations sont faites sur les processus des projetsLes plans d’actions des projets sont établis, suivis puis mis à jour suite à chaque évaluation




0

1

2

3

4

5

Gestion projet Qualité Gestion conf Sous-traitance

Gestionexigences

Résultats d’évaluation

Evaluation des processus projetsRésultats de l’évaluation

A l’issue d’une évaluation, chaque processus est caractérisé par son niveau d’aptitudecompte tenu de son objectif d’amélioration.

Objectifs du programmed'amélioration




Synthèse

ISO 15504 (SPICE)• Modèle utilisé dans le monde entier et sur tout type d’activité

(R&D,…) • Pas de détermination de la maturité de l’organisation mais un

profil d’aptitude par processus

• Pas de schéma unique d’évaluation - l’auto-évaluation estencouragée par la norme• Pas de système de reconnaissance externe

CMMI• Grosse promotion du SEI

• Souvent retenu en France comme référence• Compatible avec ISO 15504• Evaluation lourde, pas de version française• Transmission du résultat de l’évaluation au SEI





1. Introduction








sanofi-aventis, les chiffres-clés

1er groupe européen et 3e mondial de l’industrie pharmaceutique

7 domaines thérapeutiques majeurs : cardiovasculaire, thrombose, maladies

métaboliques, oncologie, système nerveux central, médecine interne, vaccins

Chiffre d'affaires 2005 : 27,3 Mds €

Résultat net ajusté 2005 : 6,3 Mds € (+26,1%)

3ème budget de l’industrie pharmaceutique en R&D : 4 Mds €

127 molécules et vaccins en développement dont 56 en phases avancées

Près de 97 200 collaborateurs dans le mondeUne présence dans plus de 100 pays

fi i l d i




sanofi-aventis, les domainesthérapeutiques

Pour répondre aux besoins de santé du plus grand nombre, leGroupe propose et recherche des solutions dans septdomaines thérapeutiques majeurs :

Cardio-vasculaire : hypertension artérielle, fibrillationauriculaire, maladie artérielle périphérique, insuffisancecardiaque, thrombose artérielle ou veineuse

Maladies thrombotiques : thrombose veineuse profonde avecou sans embolie pulmonaire, athérothrombose, syndromes

coronariens aigusMaladies métaboliques : le diabète de types 1 et 2

fi ti l d i




sanofi-aventis, les domainesthérapeutiques

Oncologie : cancer colorectal, du sein, du poumon non à petitescellules, de la prostate, gastrique, de la tête et du cou (ORL),hémopathies malignes, (leucémies), mélanomeSystème nerveux central : insomnie, maladie d’Alzheimer, scléroseen plaques, schizophrénie, épilepsie, dépression, anxiété, sevragetabagique, maladie de Parkinson, lésion de la moelle épinièreMédecine interne : infections bactériennes, virales et parasitaires,polyarthrite rhumatoïde, ostéoporose, douleur, urologie,bronchopneumopathie chronique obstructive, allergie, inflammation,incontinence urinaire, hypertrophie bénigne de la prostateVaccins : contre la grippe, la méningite, la poliomyélite, combinaisonsvaccinales, vaccins sérums destinés aux voyageurs et zonesendémiques




Les 15 premiers médicaments duGroupe

Médicaments

Lovenox® / Clexane®Plavix® / Iscover ®Taxotere®Eloxatine®Stilnox® / Ambien® / Myslee®

Allegra®Lantus®Delix® / Tritace® / Triatec®Copaxone®Aprovel® / Avapro® /Karvea ®Amaryl®Actonel®Dépakine®Xatral®Nasacort®

CA 2005En millions d’euros

2 1432 0261 6091 5641 519

1 3451 2141 009 902 892 677 364 318 328 278

Évolution à donnéescomparables

+ 13,8 %+ 20,2 %+ 12,8 %+ 30,6 %+ 10,6 %

- 9,1 %+ 47,5 %+ 2,4 %+ 24,1%+ 13,9 %+ 0,7%+ 23,8 %+ 4,6 %+ 18,4 %- 2,1 %




sanofi-aventisOrganisation et contrôle interne

Le contrôle interne est une préoccupation historiquedu Groupesanofi-aventis et ses filiales françaises sontsoumises à la loi de sécurité financière du 1er août2003 .sanofi-aventis est également tenu de respecter lesdispositions de la loi Sarbanes Oxley du 30 juillet2002.

sanofi-aventis s’appuie sur une Direction de l'Auditet de l’Evaluation du Contrôle Interne directementrattachée au Président-Directeur Général, afind'assurer son indépendance.




Audit des projets informatiquesContexte sanofi-aventis

Une Direction de l’Audit Informatique au sein dela Direction de l’Audit et de l’Evaluation duContrôle Interne

Héritage – De 25 ans de pratiques de l’audit interne – De sa forte crédibilité

– De son indépendance – D’un taux élevé de prise en compte de ses

recommandations




Mission de l’Audit Informatique

La mission de la direction de l’Audit Informatique : • Evaluer la fiabilité, l’intégrité, la sécurité des applications, infrastructures et

réseaux informatiques,• Evaluer le dispositif de contrôle au sein des processus et des projets

informatiques.

Ces missions s’exercent dans le cadre des « missions d’assurance » selonl’IFACI : • Les services “d’assurance” impliquent l’évaluation objective par

l’auditeur interne afin de procurer une opinion indépendante sur leprocessus ou le système audité.

• La nature et l’étendue des travaux d’assurance sont déterminés parl’auditeur interne.

Les missions de conseil sont exclues.

“ A l’aide des outils technologiques et de l'expertise appropriés, évaluer l'adéquation et l'efficacitédes systèmes de contrôles qui adressent les risques émanant de la mise en œuvre parune organisation, de la technologie en support de ses objectifs business. “ COSO




Audit des projets informatiquesRéférentiels externes utilisés

Respect des normes internationales pour la pratique professionnelle de l’auditinterne pour la conduite des audits, le choix des auditeurs. IFACI, ISACA

Le CObIT ¹ Modèle de référence pour la gouvernance des technologies del'information, permet de comprendre et de gérer les risques liés aux systèmesd'information, repose sur la définition de 34 processus. Le modèle d'évaluationest calqué sur celui des capacités logicielles (type CMM).Sarbanes Oxley impose d'utiliser l'infrastructure de contrôle interne COSO².COBIT était la meilleure voie pour évaluer la conformité aux exigences duCOSO.

ISO 17799 (BS 7799) - Catalogue de bonnes pratiques assurant un client queses informations sont gérées de manière sécurisée par son fournisseur.Complément de réponse aux obligations de sécurité des systèmesd'information.

CMMI/ISO 15504 et ITIL.

¹ CObIT - Control Objectives for Information and related Technology² COSO - Committee of Sponsoring Organizations




Audit des projets informatiquesRéalisation d’une mission

QualityManagement

Checkpoint 1

External resourcesintegration meetingData collectionRisk assessment

Audit Program selection

Audit preparation

Opening meetingInterviewsData collectionWeekly updateClosing meeting

Fieldwork

Checkpoint 2

Findings and goodpractices validationDrafting and sendingaudit report for commentsInternal validation

Audit report

Checkpoint 3

DocumentationManagement

Draft Audit Report

Final Audit Report

Checkpoint minutes

Checkpoint minutes{Checkpoint 2}

{Checkpoint 1}

{Checkpoint 3}

Global risk assessment

Assignment letter

Integration packageAudit preparation memo

Interview material

Evidences / supporting materials

{Opening meeting presentation template}

{IS Audit Program}

{Weekly update}

Updated findings databaseAuditees' comments

{Data collection material template}Adapted audit program

Collected material

IS Audit assignment execution procedure

{Audit preparation memo template}

Updated Dashboard

Opening meeting minutes

Closing meeting minutes{Closing meeting presentation template} .

{IS Audit report template}

Updated Dashboard

Updated Dashboard

Checkpoint minutes

Updated good practices database

AICA/ISA Publication: 20 July 2005




Audit des projets informatiquesProgramme de travail

Review area No of review areas Reviewed Work in Progress To be started

A - Project Management 14 8 5 1B - Application environment 6 3 3C - Application controls 4 4 1D - Infrastructure 3 3E - Change Management 7 7F - Systems Development Life Cyle 12 1 7 4

46 9 29 9

ControlID

Theme ControlObjective

Test guidance Controldocumentation(Type and

Reference)

Con tact P rogres s Comment s

L ow M od H ig h A.7 Organisationa

l policiesOrganisationalpolicies areclearlycommunicated,understood aspart of the project

Check that there is sufficient awareness and understanding of informationpolicies and proceduresCheck that Management implements a communication process and toolscommunicating policiesRegular campaigns exist to check awareness of the project and key goals

MinutesWorkshopslocalpresentations (eg.kick off meeting)

K ey users - Key user s h av e been int er vi ewe d and ar ewell aware of the project- Communication process is in place and wellcoordinated : weekly meetings, localinvolvement from PM UK

1 A.8 Steering

committees IT managementand businessprocess ownersestablish andapply a structuredapproachregarding the long-range planningprocess.

Is there a project steering committee and high-level sponsor who exercisecontrol over the project ?The Steering Committee, should among other things, be looking verycarefully to see that regular milestones were included in the project plan. It isexpected that reports from, and discussions with the project team manager onthe achievements against these milestones are promptly reported.

Are steering commitees planed ?Minutes from IT planning/steering committee meetings reflect the planningprocess.Planning methodology deliverables exist and are as prescribed.

Steeringcommittesminutes

A. Einstein

- G. are sponsors of the project- Steering committees are planned every 2months- Minutes do not clearly reflect planning- Project deliverables exist

1

A - Project Management

IT Risk Impact

CMM

A-Project Management




Audit des projets informatiquesRéalisation d’une mission

En fonction de l’avancement du projet, sont audités à la fois :

• Les activités : planification, suivi de projet, l’analyse des risques, tests,gestion des habilitations,..

• Les produits des activités : plans de projet, documents de conception,

jeux de tests et manuels utilisateur.L’équipe d’audit est pluri -disciplinaire :

• Compétences en SI

• Compétences en audit interne

• Compétences en gestion de projet

• Ressources externes.




Audit des projets informatiquesPoints de vigilance

Le projet est une organisation temporaire, qui « changecontinuellement de dimension et qui vit continuellement deschangements. »

• Les constats valides à un instant t peuvent être remis enquestion à t+1

• Les recommandations publiées à la diffusion des rapports sontparfois perçues comme tardives

Délais réduits, périmètres complexes avec un grand nombred’acteur.

Notre mission ne doit pas se substituer à la responsabilitéorganisationnelle du responsable sécurité ou du responsablequalité – en effet, les processus informatiques sont désormaissoumis aux normes qualité.




Audit des projets informatiquesPoints de repères

On cherchera à s’affranchir de la dimension temporelle du projet enauditant :

• Le plus possible en amont (ex réponse aux besoins utilisateurs)• Une fois le projet terminé : audit post projet• Les projets en difficultés, sur demande du management• Les processus informatiques

Les points de contrôles et objectifs d’audit de projet ont été intégrés ànos programmes d’audit «catalogue des missions d’audit processus »Par exemple :

• Audit de la gestion des besoins des utilisateurs couvrant l’alignementstratégique

• Audit du processus de déploiement : niveau de préparation des sites, tests desprocédures de déploiement, efficacité des procédures de reporting et d’alerte,communication.

• Audit du processus de migration des données avec notamment, procédés devérifications de la qualité et de la complétude de la migration, traitement desdonnées non reprises et des cas ambigus.




Audits des projets informatiquesPoints de repères

Projet Avant-projet Post-projet

Politiques Qualité, Sécurité .. procédures

Référentiels : COSO, CObIT, CMM, ITIL

Audit de conformité

Audit post-projetAudit projetsen difficulté

Audit de la gestiondes besoins utilisateurs




Audit des projets informatiquesEn guise de conclusion

Pour un service d’audit interne : intérêt de s’approprierdes outils venant du monde de la qualité.

Dans CObIT v4.0, le guide de l’audit est remplacé par leGuide de l’assurance des TI qui montre comment CObITpeut être utilisé pour :

• Évaluation des risques et de la valeur

• Evaluation et test de contrôle

• Maturité de contrôle et auto-évaluation

Quel que soit le référentiel utilisé, l’entreprise enconstruisant sa cartographie des processusinformatiques, structure son approche de contrôle interne.




Audit des projets informatiquesLiens

ADELI (Project Management Institute) : www.adeli.org AFAI (Association Française de l’Audit et du Conseil Informatiques ) : www.afai.asso.fr AFNOR (Association Française de NORmalisation) : www.afnor.fr COSO (Committee of Sponsoring Organizations of the Treadway Commission) :www.coso.org

IFACI (Institut Français de l’Audit et du Contrôle Interne) : www.ifaci.com ISACA (Information Systems Audit and Control Association) : www.isaca.org ISO (Organisation Internationale de Normalisation) : www.iso.org ITIL (Committee of Sponsoring Organizations of the Treadway Commission) :www.it i l .co.uk

PMI (Project Management Institute) : www.pmi .o rg

SEI (Software Engineering Institute) : www.sei.cmu.edu “Comparatif,analyse et tendances ITIL, CObIT, ISO 27001, eSCM” , Jacqueline Sidi, MartieOtter, Laurent Hanaud, 2006“CMMI – Un itinéraire fléché vers le Capability Maturity Model Integration” RichardBasque, Dunod 2004

http://www.adeli.org/

http://www.afai.asso.fr/

http://www.afnor.fr/

http://www.coso.org/

http://www.ifaci.com/

http://www.isaca.org/

http://www.iso.org/

http://www.itil.co.uk/

http://www.pmi.org/

http://www.sei.cmu.edu/

http://www.sei.cmu.edu/

http://www.pmi.org/

http://www.itil.co.uk/

http://www.iso.org/

http://www.isaca.org/

http://www.ifaci.com/

http://www.coso.org/

http://www.afnor.fr/

http://www.afai.asso.fr/

http://www.adeli.org/





1. Introduction

2. Evaluation des processus projetContextesRéférentiels utilisés

Pratiques

3. Audit des projets informatiquesContexte Sanofi-AventisRéférentiels utilisés





>> L’ dit d j t i f tid

Merci de votre attention !

Questions – réponses

Documents

Audit Des Projets Informatiques1204