2007-01-17-audit_de_projet

8/2/2019 2007-01-17-audit_de_projet

1/49

L'audit, un outil de pilotagepour vos projets

par Marc Barbezat

Soire-formation

8/2/2019 2007-01-17-audit_de_projet

2/49

Marc Barbezat . . .

http://www.isaca.ch/

Reprsentant romand du comit de l 'association suisse des auditeurs informatiques ISACA

http://www.iseig.ch/

Initiateur et coordinateur de la formation certifiante d'audit informatique CISA en Suisseromande

Crateur et responsable de la cel lule d 'intell igence conomique pour la banque et la finance B3B.ch

http://www.bcv.ch/

Auditeur interne IT,

Groupe Banque Cantonale Vaudoise
http://www.isaca.ch/http://www.iseig.ch/http://www.bcv.ch/http://www.bcv.ch/http://www.iseig.ch/http://www.isaca.ch/

8/2/2019 2007-01-17-audit_de_projet

3/49

Programme Les questions

Quels sont les objectifs d 'un audi t de projet ?

Commentprparer et accompagner l e droulement d 'un

audi t de projet ? Quelles informations i ssues de l 'audit peuvent tre

exploites pour le p ilotage du projet ?

Prsentation de l'approche d'audit

L'audit: Dfinition, terminologie et principes

Focalis sur la

gestion de projetFocalis sur la gestion de projet

8/2/2019 2007-01-17-audit_de_projet

4/49

L'audit

Dfinition et contexte d'intervention Terminologie

Construction du risque

Gestion du risque versus contrle du risque

8/2/2019 2007-01-17-audit_de_projet

5/49

Dfinition

L'audit, exerc par un auditeur, est un processusmthodique, indpendant et document permettantde recueil l i r des informations objectives pourdterminer dans quelle mesure les exigences satisfontaux rfrentiels du domaine concern.

L'audit

Objectifs des audits:

Fournir au management l 'assurance que les objectifs decontrle relevant sont atteints

Identifier les faiblesses significatives dans ces contrles Documenter le risque connect avec de tel les faiblesses

Conseil ler le management sur les mesures implmenter

8/2/2019 2007-01-17-audit_de_projet

6/49

Dfinition

Pour l'auditeur:

L'audit est le processus permettant la vrification de l ' information et dterminer la prcision et la fiabi l i t desassertions du rapport

La vrification est le processus de collecte d'vidence

suffisante permettant l 'auditeur de confirmer l 'exactitudede ses constatations, in extenso de sa prise de position

Les vidences d'audit sont toutes les informations qu'un auditeur uti l ise pour dmontrer ses constats

L'audit

8/2/2019 2007-01-17-audit_de_projet

7/49

Code d'thique professionnel

Conformit avec les standards et les meilleures pratiques

Diligence et professionnalisme

Servir l'intrt des actionnaires de manire honnte et respectueuse des lois

Respect de la confidentialit et des affaires prives

Maintien des comptences

Informer et communiquer de manire approprie

Eduquer et sensibiliser les actionnaires

L'audit Dfinition

8/2/2019 2007-01-17-audit_de_projet

8/49

Types d'auditL'audit Dfinition

Quelques exemples:

Audit financier

Audit oprationnel

Audit de conformit ( lois, rglements)

Autres audits spcifiques: Audit intgr (combinant les aspects financiers et oprationnels

Audit administratifs (valuation de l 'efficacit oprationnelle /productivit)

Audit du systme d' information Audit spcial is (domaine spcifique, dmarche standardise,. . .)

Audit de forensic (cas de fraude)

. . .

8/2/2019 2007-01-17-audit_de_projet

9/49

Stratgie del'entreprise

Pilotage d'un projet

. . .

Contexte d'in terventionL'audit

Personnes etorganisation

Processus et fonctionnement

Outi ls ettechnologie

objectifs

objectifs

objectifs

ACTIONS

PLANPLAN

DODO

CHECKCHECK

ACTACT

PRINCIPEPRINCIPE

D'INDEPENDANCED'INDEPENDANCE

C

8/2/2019 2007-01-17-audit_de_projet

10/49

Contexte d'in terventionL'audit Contexte d'intervention

Stratgie del'entreprise

Pi lotage d'un projet

. . .

objectifs

objectifs

objectifs

ACTIONS

PLANPLAN

DODO

CHECKCHECK

ACTACT

PRINCIPEPRINCIPE

D'INDEPENDANCED'INDEPENDANCE

Financier

Conformit

Oprationnel

Processus d'auditProcessus d'audit

Focalisation sur les domaines haut risque de la socit

P i i d l i fi ti d dit

8/2/2019 2007-01-17-audit_de_projet

11/49

Principe de planification des audits

Planification long terme

Par exemple triennale

Li la planification stratgique de l 'entreprise

Facteurs considrer

Changements de technologies Nouveau principes de contrle Modification de processus oprationnels Nouvelles contraintes rglementaires . . .

Planification court terme

Annuelle

Li la p lanification des ressources

L'audit Contexte d'intervention

T i l i

8/2/2019 2007-01-17-audit_de_projet

12/49

TerminologieL'audit

SYSTEME DESYSTEME DECONTRLE INTERNECONTRLE INTERNE

RISQUERISQUE VULNERABILITEVULNERABILITE

CONTRLECONTRLE

MENACESMENACES

prventif

dtectif

correctif

design

efficacit

inhrent contrle

dtection

impact

frquence

M t l bi l i t

8/2/2019 2007-01-17-audit_de_projet

13/49

Menace et vulnrabi l i t

Menace

Tout acte, s ituation, vnement, pouvant tre l 'origine de dgts ou de dommages sur un bien ou une personne physique ou mora le.

Vulnrabilit

Une vu lnrabi li t est une fa il le dans uneprocdure, un systme, le design, l ' implmentation d'un contrle qui peut tre exploite pour abuser la scurit ou empcherd'atteindre les objectifs de la socit

Inhrente l environnement de la socit. Unevulnrabi l i t peut concern les btiments et les locaux, les logiciels et appl ications, lessystmes,

L'audit Terminologie

Risque

8/2/2019 2007-01-17-audit_de_projet

14/49

RisqueL'audit Terminologie

MENACEMENACE VULNERABILITEVULNERABILITE

RISQUERISQUE

VALEUR OPERATIONNELLEVALEUR OPERATIONNELLE

DE L'ACTIFDE L'ACTIF

FREQUENCE DEFREQUENCE DE

SURVENANCESURVENANCE

II

MM

PP

AA

CC

TT

Risque et contrle

8/2/2019 2007-01-17-audit_de_projet

15/49

Risque et contrle

Risque

Evnement qui est susceptible dentraner des dommages et/ou des pertes pour l entreprise concerne

Contrle

Les contrles sont des pol itiques, des procdures, despratiques et des structures organisationnelles dsignespour mettre d isposition une assurance ra isonnable que lesobjectifs business seront atteints et que les vnements nonsouhaits pourront tre prvenus ou dtects et corrigs


Systme de contrle interne SCI

8/2/2019 2007-01-17-audit_de_projet

16/49

Systme de contrle interne SCI

Systme de contrle interne

Ensemble des contrle (mthodes et procdures) uti l iss dans une socit

pour la protection des actifs de l 'entreprises Comptabilit correcte et conforme

Management efficace de la socit Conformit avec la stratgie oprationnelle Prvention et la dtection d'erreurs et d' irrgularits . . .


Risque

8/2/2019 2007-01-17-audit_de_projet

17/49

RisqueL'audit Terminologie

MENACEMENACE VULNERABILITEVULNERABILITE

RISQUERISQUE

IMPACT -IMPACT -

VALEUR OPERATIONNELLEVALEUR OPERATIONNELLE

FREQUENCE DEFREQUENCE DE

SURVENANCESURVENANCE

SYSTEME DESYSTEME DECONTROLECONTROLEINTERNEINTERNE

Construction du risque

8/2/2019 2007-01-17-audit_de_projet

18/49

Construction du risqueL'audit

couverture daudit (domaine, processus, technologie, temps)

Risque final

Risque de dtectionProcessus

dapprciation des risques

Menaces Vulnrabi l i ts ImpactFrquence

desurvenance

Risque inhrent

Risque de contrlePrventif Dtectif Correctif

Risques inhrents

8/2/2019 2007-01-17-audit_de_projet

19/49

Risques inhrents

Risque inhrent:

Type de produits ou de services

Situation de concurrence

Industrie

Tai lle et tats financiers de la socits Dveloppement technologique

Environnement informatique

. . .

L'audit Construction du risque

couverturedaud it (domaine, processus, technologie, temps)

Risque final

Risqued e dtectionProcessus

d apprciation des r isques

Menaces Vulnrabil i ts ImpactFrquence

desurvenance

Risque inhrent

Risqued e contrlePrventi f Dtecti f Correcti f

Risques de contrle

8/2/2019 2007-01-17-audit_de_projet

20/49

Risques de contrle

Culture d'entreprise

Activits / industries

Rorganisation, fusions, acquisition, outsourcing

Staff, personnes et organisation

Gestion des changements

Manque de d irectives et dedocumentations

Sgrgation des tches . . .



Risque final




desurvenance

Risque inhrent


Risques de dtection

8/2/2019 2007-01-17-audit_de_projet

21/49

Risques de dtection

Erreur non dtecte

Indicateurs inefficaces

Planning d 'audit inadquat

Rsultats d'audit interprt de manire incorrecte

Constats non pondrs de manire correcte

. . .



Risque final




desurvenance

Risque inhrent


8/2/2019 2007-01-17-audit_de_projet

22/49

L'approche audit

Comprhension de l'environnement

Identification des risques

Identification des contrles

Apprciation des risques

Communication des rsultats

Suivi des constatations

1 . Comprhension de l 'environnement

8/2/2019 2007-01-17-audit_de_projet

23/49

1 . Comprhension de l environnement L'approche d'audit

Personnes etorganisation

Processus et fonctionnement

Outi ls ettechnologie

+

Dimensions considrer

Identifi? Dfini?

Valid?

Document? Implment?

Surveill?

Revu?

Techniques et outi ls

8/2/2019 2007-01-17-audit_de_projet

24/49

Qualit de l'informationet quantit d'information

Processus de documentationProcessus de documentation

ec ques e ou s

Interviews

Direction

Personnes cls

Employs

Revue de documentation (papier et lectronique) Politiques, standards et procdures

Mode d'emploi

. . .

Observation

Mode opratoire

Responsabil it, l imites d'activits

. . .

L'approche d'audit 1. Comprhension de l'environnement

Quantit et qualit de l ' information col lecte

8/2/2019 2007-01-17-audit_de_projet

25/49

Q q

Pertinente

Al igne sur les objectifs de l 'audit

En relation logique avecles constatations et les

conclusions Reliable

Valide (temps, domaine, source indpendante, etc.)

Factuelle Objective (interprtation)

Suffisante

Complte

Adquate

Convaincante

Conduirait un autre auditeuraux mmes conclusions

L'approche d'audit 1. Comprhension de l'environnement

2. Identification des risques

8/2/2019 2007-01-17-audit_de_projet

26/49

q L'approche d'audit

Menaces Vulnrabi l i ts ImpactFrquence

desurvenance

Risque inhrent

Analyse de risques

Qualitative Qualitative

Aide la p lani fication de l 'valuation des contrles

Confi rme les objecti fs d 'aud it

Gestion du rique vs contrle du risque

8/2/2019 2007-01-17-audit_de_projet

27/49

Analyse de risques

q qL'audit 2. Identification des risques

Principe d'indpendancePrincipe d'indpendance

Gestiondes risques

Temps Qualit Cots

OprationnelGestion de projet

Controledes risques

Temps Qualit Cots

Audit

Cohrence desrisques identifis

Cohrence del'apprciation

des risques

Rfrentiels et outi ls

8/2/2019 2007-01-17-audit_de_projet

28/49

L'approche d'audit 2. Identification des risques

Cohrence deCohrence de

l'identification et del'identification et de

l'apprciationl'apprciation

des risquesdes risques

Normes assurance qual it (ISO, PRINCE2 , ITIL , . . .)

Normes de scurit (ISO 27001 , ITsec, . . . )

Normes d'audit(NAS, COBIT, COSO,. . . )

Normes, rfrentiels mtier

Rfrentiels et outi ls: COBIT

8/2/2019 2007-01-17-audit_de_projet

29/49

L'approche d'audit 2. Identification des risques

Vue globale du rfrentiel

8/2/2019 2007-01-17-audit_de_projet

30/49

L'approche d'audit 2. Identification des risques COBIT

Rf. COBIT: Control Object ives for Information and related Technology, ISACA

4 domaines

Planning & Organisation

Acquisition & Implementation

Delivery & Support

Monitor & Evaluate 34 Macro-processus

PO-10 Manage Projet

Processus PO 1 0 Manage projects (1 /3)

8/2/2019 2007-01-17-audit_de_projet

31/49



Processus

Objectifs business

Objectifs IT

Objectifs de contrles

Mtriques et indicateurs

Processus PO 1 0 Manage projects (2/3)

8/2/2019 2007-01-17-audit_de_projet

32/49

0 Non-existent

Project management techniques are not used and theorganisation does not consider business impacts associatedwith project mismanagement and development projectfailures.

. . . 5 Optimised

A proven, ful l l i fe cycle project and programme methodologyis implemented, enforced and integrated into the culture of

the entire organisation. An ongoing initiative to identify and institutionalise best project management practices has beenimplemented. An . . .



Processus PO 1 0 Manage projects (3/3)

8/2/2019 2007-01-17-audit_de_projet

33/49

Rf. Recommandations l gard des responsables de projet informatique, Contrle Fdrale des Finances)


3. Identification des contrles

8/2/2019 2007-01-17-audit_de_projet

34/49

L'approche d'audit

RISQUE

Contrle prventif

Contrle dtectif

Contrle correctif

Systme de contrle interne - SCI

Contrle prventif

8/2/2019 2007-01-17-audit_de_projet

35/49

PREVENTIF

Politiques, directives, standards

Formation

Sensibilisation

Sgrgation des tches Logiciel de contrle d'accs

. . .

Dtecte les problmes avant qu'ils surviennent Prvient les erreurs, les omissions, les actes malicieux

...

L'approche d'audit 3. Identification des contrles

Contrle dtectif

8/2/2019 2007-01-17-audit_de_projet

36/49

DETECTIF

Contrle de totaux, reconcil iations

Messages d'erreur

Rapport

Indicateurs de tableau de bord . . .

Dtecte et reporte le problme, tels que les erreurs, les

omissions, les actes malicieux ...


Contrle correctif L' h d' dit 3 Id tifi ti d t l

8/2/2019 2007-01-17-audit_de_projet

37/49

CORRECTIF

Plan de continuit

Procdure de backup

Procdure de re-run

. . .

Rduit l'impact de la menace

Corrige les erreurs dcouvertes par les contrles dtectifs

Modifie le droulement oprationnel afin de rduite le nombred'occurences futures d'un problme

...


Caractristique du contrle L' h d' dit 3 Id tifi ti d t l

8/2/2019 2007-01-17-audit_de_projet

38/49

Identifier le contrle et comprendre son fonctionnement

Design

Point de fonctionnement dans le temps, tape de la procdure, . . .

Efficacit

Habituel lement, au minimum 2 contrles pour couvriradquatement un risque


Apprciation des contrles L' h d' dit 3 Id tifi ti d t l

8/2/2019 2007-01-17-audit_de_projet

39/49

Tests de conformit du

contrle Dtermine si les contrles

internes sont appliqusdans la manire dcrite dans la documentations et

en accord avec lesintentions du management

Teste le processus


Tests de val idation du

contrle Confirme l ' intgrit du

rsul tat sur la base du fonctionnement rel du contrle

Teste la valeur

Apprciation des contrles: Tests

L'approche d'audit 3 Identification des contrles

8/2/2019 2007-01-17-audit_de_projet

40/49

processusprocessus

SYSTEME DESYSTEME DECONTROLECONTROLE

INTERNEINTERNE

INPUT

OUTPUT

processusprocessus

SYSTEME DESYSTEME DECONTROLECONTROLE

INTERNEINTERNE

INPUT

OUTPUT

TESTS DE CONFORMITE TESTS DE VALIDATION


Niveau de contrle L'approche d'audit 3 Identification des contrles

8/2/2019 2007-01-17-audit_de_projet

41/49

ContrlesRisque

L approche d audit 3. Identification des contrles

Communication des rsultats L'approche d'audit

8/2/2019 2007-01-17-audit_de_projet

42/49

L approche d audit

Comprendrel 'environnement

risques?

controles?

efficaces?Tests de conformit

Tests de validation

CommuniquerRapporter

non

ou i

ou i

non

non

ou i

Plus de tests

Moins de tests

Communication

8/2/2019 2007-01-17-audit_de_projet

43/49

Rf. Normes d'Audit Suisse, dition 2004, Chambre f iduciaire suisse

Communication

8/2/2019 2007-01-17-audit_de_projet

44/49

Communiquer

Constats et recommandations (importance et priori e s

Co o tinBandan n Ion

Suivi des constatations L'approche d'audit

8/2/2019 2007-01-17-audit_de_projet

45/49

S'assurer de la mise en

oeuvre des recommandationsselon les dla is convenus

L approche d audit

PLANPLAN

DODO

CHECKCHECK

ACTACT

8/2/2019 2007-01-17-audit_de_projet

46/49

Conclusion

Conclusion

8/2/2019 2007-01-17-audit_de_projet

47/49

Pour le chef de projet, l 'audi t permet de

S'assurer de la bonne couverture de la gestion des risques S'assurer de la bonne apprciation des risques du projet

Val ider le design et l 'efficacit des contrles mis en p lace pour le pi lotage du projet

Identifier les faiblesses ventuelles

Obtenir une nouvelle vision du projet (conseil / advisory)

Discuter / changer avec un spcia liste indpendant

. . .

8/2/2019 2007-01-17-audit_de_projet

48/49

Merci pour votre attention

Marc Barbezat

Email: [email protected]

Site: http://www.b3b.ch/

Blog: http://blog.b3b.ch/

Rfrences utiles
http://blog.b3b.ch/http://www.b3b.ch/mailto:[email protected]

8/2/2019 2007-01-17-audit_de_projet

49/49

Recommandations des contrles des finances l gard des projets informatiqueshttp://www.isaca.ch/files/Novena_V2_f.pdf

Normes d'Audit Suisse, Chambre fiduciairehttp://www.treuhand-kammer.ch/pix/files/neu_ps_fr1 .pdf

Formation CISA en Suisse Romandehttp://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2

ISACA, Information Systems Audit and Control Associationhttp://www.isaca.ch/ , http://www.isaca.org/

Banque Cantonale Vaudoisehttp://www.bcv.ch/

Wikipedia, Lencyclopdie l ibre

http://www.wikipedia.org/
http://www.isaca.ch/files/Novena_V2_f.pdfhttp://www.treuhand-kammer.ch/pix/files/neu_ps_fr1.pdfhttp://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2http://www.isaca.ch/http://www.isaca.org/http://www.bcv.ch/http://www.wikipedia.org/http://www.wikipedia.org/http://www.bcv.ch/http://www.isaca.org/http://www.isaca.ch/http://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2http://www.treuhand-kammer.ch/pix/files/neu_ps_fr1.pdfhttp://www.isaca.ch/files/Novena_V2_f.pdf

2007-01-17-audit_de_projet

Documents

Transcript of 2007-01-17-audit_de_projet