Post on 06-Apr-2018
8/2/2019 2007-01-17-audit_de_projet
1/49
L'audit, un outil de pilotagepour vos projets
par Marc Barbezat
Soire-formation
8/2/2019 2007-01-17-audit_de_projet
2/49
Marc Barbezat . . .
http://www.isaca.ch/
Reprsentant romand du comit de l 'association suisse des auditeurs informatiques ISACA
http://www.iseig.ch/
Initiateur et coordinateur de la formation certifiante d'audit informatique CISA en Suisseromande
Crateur et responsable de la cel lule d 'intell igence conomique pour la banque et la finance B3B.ch
http://www.bcv.ch/
Auditeur interne IT,
Groupe Banque Cantonale Vaudoise
http://www.isaca.ch/http://www.iseig.ch/http://www.bcv.ch/http://www.bcv.ch/http://www.iseig.ch/http://www.isaca.ch/8/2/2019 2007-01-17-audit_de_projet
3/49
Programme Les questions
Quels sont les objectifs d 'un audi t de projet ?
Commentprparer et accompagner l e droulement d 'un
audi t de projet ? Quelles informations i ssues de l 'audit peuvent tre
exploites pour le p ilotage du projet ?
Prsentation de l'approche d'audit
L'audit: Dfinition, terminologie et principes
Focalis sur la
gestion de projetFocalis sur la gestion de projet
8/2/2019 2007-01-17-audit_de_projet
4/49
L'audit
Dfinition et contexte d'intervention Terminologie
Construction du risque
Gestion du risque versus contrle du risque
8/2/2019 2007-01-17-audit_de_projet
5/49
Dfinition
L'audit, exerc par un auditeur, est un processusmthodique, indpendant et document permettantde recueil l i r des informations objectives pourdterminer dans quelle mesure les exigences satisfontaux rfrentiels du domaine concern.
L'audit
Objectifs des audits:
Fournir au management l 'assurance que les objectifs decontrle relevant sont atteints
Identifier les faiblesses significatives dans ces contrles Documenter le risque connect avec de tel les faiblesses
Conseil ler le management sur les mesures implmenter
8/2/2019 2007-01-17-audit_de_projet
6/49
Dfinition
Pour l'auditeur:
L'audit est le processus permettant la vrification de l ' information et dterminer la prcision et la fiabi l i t desassertions du rapport
La vrification est le processus de collecte d'vidence
suffisante permettant l 'auditeur de confirmer l 'exactitudede ses constatations, in extenso de sa prise de position
Les vidences d'audit sont toutes les informations qu'un auditeur uti l ise pour dmontrer ses constats
L'audit
8/2/2019 2007-01-17-audit_de_projet
7/49
Code d'thique professionnel
Conformit avec les standards et les meilleures pratiques
Diligence et professionnalisme
Servir l'intrt des actionnaires de manire honnte et respectueuse des lois
Respect de la confidentialit et des affaires prives
Maintien des comptences
Informer et communiquer de manire approprie
Eduquer et sensibiliser les actionnaires
L'audit Dfinition
8/2/2019 2007-01-17-audit_de_projet
8/49
Types d'auditL'audit Dfinition
Quelques exemples:
Audit financier
Audit oprationnel
Audit de conformit ( lois, rglements)
Autres audits spcifiques: Audit intgr (combinant les aspects financiers et oprationnels
Audit administratifs (valuation de l 'efficacit oprationnelle /productivit)
Audit du systme d' information Audit spcial is (domaine spcifique, dmarche standardise,. . .)
Audit de forensic (cas de fraude)
. . .
8/2/2019 2007-01-17-audit_de_projet
9/49
Stratgie del'entreprise
Pilotage d'un projet
. . .
Contexte d'in terventionL'audit
Personnes etorganisation
Processus et fonctionnement
Outi ls ettechnologie
objectifs
objectifs
objectifs
ACTIONS
PLANPLAN
DODO
CHECKCHECK
ACTACT
PRINCIPEPRINCIPE
D'INDEPENDANCED'INDEPENDANCE
C
8/2/2019 2007-01-17-audit_de_projet
10/49
Contexte d'in terventionL'audit Contexte d'intervention
Stratgie del'entreprise
Pi lotage d'un projet
. . .
objectifs
objectifs
objectifs
ACTIONS
PLANPLAN
DODO
CHECKCHECK
ACTACT
PRINCIPEPRINCIPE
D'INDEPENDANCED'INDEPENDANCE
Financier
Conformit
Oprationnel
Processus d'auditProcessus d'audit
Focalisation sur les domaines haut risque de la socit
P i i d l i fi ti d dit
8/2/2019 2007-01-17-audit_de_projet
11/49
Principe de planification des audits
Planification long terme
Par exemple triennale
Li la planification stratgique de l 'entreprise
Facteurs considrer
Changements de technologies Nouveau principes de contrle Modification de processus oprationnels Nouvelles contraintes rglementaires . . .
Planification court terme
Annuelle
Li la p lanification des ressources
L'audit Contexte d'intervention
T i l i
8/2/2019 2007-01-17-audit_de_projet
12/49
TerminologieL'audit
SYSTEME DESYSTEME DECONTRLE INTERNECONTRLE INTERNE
RISQUERISQUE VULNERABILITEVULNERABILITE
CONTRLECONTRLE
MENACESMENACES
prventif
dtectif
correctif
design
efficacit
inhrent contrle
dtection
impact
frquence
M t l bi l i t
8/2/2019 2007-01-17-audit_de_projet
13/49
Menace et vulnrabi l i t
Menace
Tout acte, s ituation, vnement, pouvant tre l 'origine de dgts ou de dommages sur un bien ou une personne physique ou mora le.
Vulnrabilit
Une vu lnrabi li t est une fa il le dans uneprocdure, un systme, le design, l ' implmentation d'un contrle qui peut tre exploite pour abuser la scurit ou empcherd'atteindre les objectifs de la socit
Inhrente l environnement de la socit. Unevulnrabi l i t peut concern les btiments et les locaux, les logiciels et appl ications, lessystmes,
L'audit Terminologie
Risque
8/2/2019 2007-01-17-audit_de_projet
14/49
RisqueL'audit Terminologie
MENACEMENACE VULNERABILITEVULNERABILITE
RISQUERISQUE
VALEUR OPERATIONNELLEVALEUR OPERATIONNELLE
DE L'ACTIFDE L'ACTIF
FREQUENCE DEFREQUENCE DE
SURVENANCESURVENANCE
II
MM
PP
AA
CC
TT
Risque et contrle
8/2/2019 2007-01-17-audit_de_projet
15/49
Risque et contrle
Risque
Evnement qui est susceptible dentraner des dommages et/ou des pertes pour l entreprise concerne
Contrle
Les contrles sont des pol itiques, des procdures, despratiques et des structures organisationnelles dsignespour mettre d isposition une assurance ra isonnable que lesobjectifs business seront atteints et que les vnements nonsouhaits pourront tre prvenus ou dtects et corrigs
L'audit Terminologie
Systme de contrle interne SCI
8/2/2019 2007-01-17-audit_de_projet
16/49
Systme de contrle interne SCI
Systme de contrle interne
Ensemble des contrle (mthodes et procdures) uti l iss dans une socit
pour la protection des actifs de l 'entreprises Comptabilit correcte et conforme
Management efficace de la socit Conformit avec la stratgie oprationnelle Prvention et la dtection d'erreurs et d' irrgularits . . .
L'audit Terminologie
Risque
8/2/2019 2007-01-17-audit_de_projet
17/49
RisqueL'audit Terminologie
MENACEMENACE VULNERABILITEVULNERABILITE
RISQUERISQUE
IMPACT -IMPACT -
VALEUR OPERATIONNELLEVALEUR OPERATIONNELLE
FREQUENCE DEFREQUENCE DE
SURVENANCESURVENANCE
SYSTEME DESYSTEME DECONTROLECONTROLEINTERNEINTERNE
Construction du risque
8/2/2019 2007-01-17-audit_de_projet
18/49
Construction du risqueL'audit
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtectionProcessus
dapprciation des risques
Menaces Vulnrabi l i ts ImpactFrquence
desurvenance
Risque inhrent
Risque de contrlePrventif Dtectif Correctif
Risques inhrents
8/2/2019 2007-01-17-audit_de_projet
19/49
Risques inhrents
Risque inhrent:
Type de produits ou de services
Situation de concurrence
Industrie
Tai lle et tats financiers de la socits Dveloppement technologique
Environnement informatique
. . .
L'audit Construction du risque
couverturedaud it (domaine, processus, technologie, temps)
Risque final
Risqued e dtectionProcessus
d apprciation des r isques
Menaces Vulnrabil i ts ImpactFrquence
desurvenance
Risque inhrent
Risqued e contrlePrventi f Dtecti f Correcti f
Risques de contrle
8/2/2019 2007-01-17-audit_de_projet
20/49
Risques de contrle
Culture d'entreprise
Activits / industries
Rorganisation, fusions, acquisition, outsourcing
Staff, personnes et organisation
Gestion des changements
Manque de d irectives et dedocumentations
Sgrgation des tches . . .
L'audit Construction du risque
couverturedaud it (domaine, processus, technologie, temps)
Risque final
Risqued e dtectionProcessus
d apprciation des r isques
Menaces Vulnrabil i ts ImpactFrquence
desurvenance
Risque inhrent
Risqued e contrlePrventi f Dtecti f Correcti f
Risques de dtection
8/2/2019 2007-01-17-audit_de_projet
21/49
Risques de dtection
Erreur non dtecte
Indicateurs inefficaces
Planning d 'audit inadquat
Rsultats d'audit interprt de manire incorrecte
Constats non pondrs de manire correcte
. . .
L'audit Construction du risque
couverturedaud it (domaine, processus, technologie, temps)
Risque final
Risqued e dtectionProcessus
d apprciation des r isques
Menaces Vulnrabil i ts ImpactFrquence
desurvenance
Risque inhrent
Risqued e contrlePrventi f Dtecti f Correcti f
8/2/2019 2007-01-17-audit_de_projet
22/49
L'approche audit
Comprhension de l'environnement
Identification des risques
Identification des contrles
Apprciation des risques
Communication des rsultats
Suivi des constatations
1 . Comprhension de l 'environnement
8/2/2019 2007-01-17-audit_de_projet
23/49
1 . Comprhension de l environnement L'approche d'audit
Personnes etorganisation
Processus et fonctionnement
Outi ls ettechnologie
+
Dimensions considrer
Identifi? Dfini?
Valid?
Document? Implment?
Surveill?
Revu?
Techniques et outi ls
8/2/2019 2007-01-17-audit_de_projet
24/49
Qualit de l'informationet quantit d'information
Processus de documentationProcessus de documentation
ec ques e ou s
Interviews
Direction
Personnes cls
Employs
Revue de documentation (papier et lectronique) Politiques, standards et procdures
Mode d'emploi
. . .
Observation
Mode opratoire
Responsabil it, l imites d'activits
. . .
L'approche d'audit 1. Comprhension de l'environnement
Quantit et qualit de l ' information col lecte
8/2/2019 2007-01-17-audit_de_projet
25/49
Q q
Pertinente
Al igne sur les objectifs de l 'audit
En relation logique avecles constatations et les
conclusions Reliable
Valide (temps, domaine, source indpendante, etc.)
Factuelle Objective (interprtation)
Suffisante
Complte
Adquate
Convaincante
Conduirait un autre auditeuraux mmes conclusions
L'approche d'audit 1. Comprhension de l'environnement
2. Identification des risques
8/2/2019 2007-01-17-audit_de_projet
26/49
q L'approche d'audit
Menaces Vulnrabi l i ts ImpactFrquence
desurvenance
Risque inhrent
Analyse de risques
Qualitative Qualitative
Aide la p lani fication de l 'valuation des contrles
Confi rme les objecti fs d 'aud it
Gestion du rique vs contrle du risque
8/2/2019 2007-01-17-audit_de_projet
27/49
Analyse de risques
q qL'audit 2. Identification des risques
Principe d'indpendancePrincipe d'indpendance
Gestiondes risques
Temps Qualit Cots
OprationnelGestion de projet
Controledes risques
Temps Qualit Cots
Audit
Cohrence desrisques identifis
Cohrence del'apprciation
des risques
Rfrentiels et outi ls
8/2/2019 2007-01-17-audit_de_projet
28/49
L'approche d'audit 2. Identification des risques
Cohrence deCohrence de
l'identification et del'identification et de
l'apprciationl'apprciation
des risquesdes risques
Normes assurance qual it (ISO, PRINCE2 , ITIL , . . .)
Normes de scurit (ISO 27001 , ITsec, . . . )
Normes d'audit(NAS, COBIT, COSO,. . . )
Normes, rfrentiels mtier
Rfrentiels et outi ls: COBIT
8/2/2019 2007-01-17-audit_de_projet
29/49
L'approche d'audit 2. Identification des risques
Vue globale du rfrentiel
8/2/2019 2007-01-17-audit_de_projet
30/49
L'approche d'audit 2. Identification des risques COBIT
Rf. COBIT: Control Object ives for Information and related Technology, ISACA
4 domaines
Planning & Organisation
Acquisition & Implementation
Delivery & Support
Monitor & Evaluate 34 Macro-processus
PO-10 Manage Projet
Processus PO 1 0 Manage projects (1 /3)
8/2/2019 2007-01-17-audit_de_projet
31/49
Rf. COBIT: Control Object ives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT
Processus
Objectifs business
Objectifs IT
Objectifs de contrles
Mtriques et indicateurs
Processus PO 1 0 Manage projects (2/3)
8/2/2019 2007-01-17-audit_de_projet
32/49
0 Non-existent
Project management techniques are not used and theorganisation does not consider business impacts associatedwith project mismanagement and development projectfailures.
. . . 5 Optimised
A proven, ful l l i fe cycle project and programme methodologyis implemented, enforced and integrated into the culture of
the entire organisation. An ongoing initiative to identify and institutionalise best project management practices has beenimplemented. An . . .
Rf. COBIT: Control Object ives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT
Processus PO 1 0 Manage projects (3/3)
8/2/2019 2007-01-17-audit_de_projet
33/49
Rf. Recommandations l gard des responsables de projet informatique, Contrle Fdrale des Finances)
L'approche d'audit 2. Identification des risques COBIT
3. Identification des contrles
8/2/2019 2007-01-17-audit_de_projet
34/49
L'approche d'audit
RISQUE
Contrle prventif
Contrle dtectif
Contrle correctif
Systme de contrle interne - SCI
Contrle prventif
8/2/2019 2007-01-17-audit_de_projet
35/49
PREVENTIF
Politiques, directives, standards
Formation
Sensibilisation
Sgrgation des tches Logiciel de contrle d'accs
. . .
Dtecte les problmes avant qu'ils surviennent Prvient les erreurs, les omissions, les actes malicieux
...
L'approche d'audit 3. Identification des contrles
Contrle dtectif
8/2/2019 2007-01-17-audit_de_projet
36/49
DETECTIF
Contrle de totaux, reconcil iations
Messages d'erreur
Rapport
Indicateurs de tableau de bord . . .
Dtecte et reporte le problme, tels que les erreurs, les
omissions, les actes malicieux ...
L'approche d'audit 3. Identification des contrles
Contrle correctif L' h d' dit 3 Id tifi ti d t l
8/2/2019 2007-01-17-audit_de_projet
37/49
CORRECTIF
Plan de continuit
Procdure de backup
Procdure de re-run
. . .
Rduit l'impact de la menace
Corrige les erreurs dcouvertes par les contrles dtectifs
Modifie le droulement oprationnel afin de rduite le nombred'occurences futures d'un problme
...
L'approche d'audit 3. Identification des contrles
Caractristique du contrle L' h d' dit 3 Id tifi ti d t l
8/2/2019 2007-01-17-audit_de_projet
38/49
Identifier le contrle et comprendre son fonctionnement
Design
Point de fonctionnement dans le temps, tape de la procdure, . . .
Efficacit
Habituel lement, au minimum 2 contrles pour couvriradquatement un risque
L'approche d'audit 3. Identification des contrles
Apprciation des contrles L' h d' dit 3 Id tifi ti d t l
8/2/2019 2007-01-17-audit_de_projet
39/49
Tests de conformit du
contrle Dtermine si les contrles
internes sont appliqusdans la manire dcrite dans la documentations et
en accord avec lesintentions du management
Teste le processus
L'approche d'audit 3. Identification des contrles
Tests de val idation du
contrle Confirme l ' intgrit du
rsul tat sur la base du fonctionnement rel du contrle
Teste la valeur
Apprciation des contrles: Tests
L'approche d'audit 3 Identification des contrles
8/2/2019 2007-01-17-audit_de_projet
40/49
processusprocessus
SYSTEME DESYSTEME DECONTROLECONTROLE
INTERNEINTERNE
INPUT
OUTPUT
processusprocessus
SYSTEME DESYSTEME DECONTROLECONTROLE
INTERNEINTERNE
INPUT
OUTPUT
TESTS DE CONFORMITE TESTS DE VALIDATION
L'approche d'audit 3. Identification des contrles
Niveau de contrle L'approche d'audit 3 Identification des contrles
8/2/2019 2007-01-17-audit_de_projet
41/49
ContrlesRisque
L approche d audit 3. Identification des contrles
Communication des rsultats L'approche d'audit
8/2/2019 2007-01-17-audit_de_projet
42/49
L approche d audit
Comprendrel 'environnement
risques?
controles?
efficaces?Tests de conformit
Tests de validation
CommuniquerRapporter
non
ou i
ou i
non
non
ou i
Plus de tests
Moins de tests
Communication
8/2/2019 2007-01-17-audit_de_projet
43/49
Rf. Normes d'Audit Suisse, dition 2004, Chambre f iduciaire suisse
Communication
8/2/2019 2007-01-17-audit_de_projet
44/49
Communiquer
Constats et recommandations (importance et priori e s
Co o tinBandan n Ion
Suivi des constatations L'approche d'audit
8/2/2019 2007-01-17-audit_de_projet
45/49
S'assurer de la mise en
oeuvre des recommandationsselon les dla is convenus
L approche d audit
PLANPLAN
DODO
CHECKCHECK
ACTACT
8/2/2019 2007-01-17-audit_de_projet
46/49
Conclusion
Conclusion
8/2/2019 2007-01-17-audit_de_projet
47/49
Pour le chef de projet, l 'audi t permet de
S'assurer de la bonne couverture de la gestion des risques S'assurer de la bonne apprciation des risques du projet
Val ider le design et l 'efficacit des contrles mis en p lace pour le pi lotage du projet
Identifier les faiblesses ventuelles
Obtenir une nouvelle vision du projet (conseil / advisory)
Discuter / changer avec un spcia liste indpendant
. . .
8/2/2019 2007-01-17-audit_de_projet
48/49
Merci pour votre attention
Marc Barbezat
Email: marc.barbezat@b3b.ch
Site: http://www.b3b.ch/
Blog: http://blog.b3b.ch/
Rfrences utiles
http://blog.b3b.ch/http://www.b3b.ch/mailto:marc.barbezat@b3b.ch8/2/2019 2007-01-17-audit_de_projet
49/49
Recommandations des contrles des finances l gard des projets informatiqueshttp://www.isaca.ch/files/Novena_V2_f.pdf
Normes d'Audit Suisse, Chambre fiduciairehttp://www.treuhand-kammer.ch/pix/files/neu_ps_fr1 .pdf
Formation CISA en Suisse Romandehttp://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2
ISACA, Information Systems Audit and Control Associationhttp://www.isaca.ch/ , http://www.isaca.org/
Banque Cantonale Vaudoisehttp://www.bcv.ch/
Wikipedia, Lencyclopdie l ibre
http://www.wikipedia.org/
http://www.isaca.ch/files/Novena_V2_f.pdfhttp://www.treuhand-kammer.ch/pix/files/neu_ps_fr1.pdfhttp://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2http://www.isaca.ch/http://www.isaca.org/http://www.bcv.ch/http://www.wikipedia.org/http://www.wikipedia.org/http://www.bcv.ch/http://www.isaca.org/http://www.isaca.ch/http://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2http://www.treuhand-kammer.ch/pix/files/neu_ps_fr1.pdfhttp://www.isaca.ch/files/Novena_V2_f.pdf