1 L'Audit des projets Informatiques Guide publié par le Groupe de travail AFAI Audit et Contrôle des Projets Informatiques Daniel MahéGuide d'Audit des projets 2 informatiques Le guide Les lecteurs du guide § Une démarche pour § Auditeurs informatiques: choisir et définir les Axes de réflexion et missions d'audit de d'amélioration de leur projets informatiques pratique. § Une méthode de § Commanditaires: conduite de ces audits, Critères de définition des centrée sur trois programmes d'audits et aspects: recommandations pour – la conduite du projet mieux communiquer avec – les risques du projet les auditeurs. – l'insertion du projet § Chefs de projets dans l'entreprise informatiques Enjeux des audits et attentes des auditeurs.Projets, audits et analyse de 3 risques Développement Itératifs Maintenance et Mise en évolutions place de progiciels Niveau de maturitéde Intégration Étudeet déploiement de systèmesd’infrastructures l'organisation Maîtrise des risques Rôles de l'audit Identification du L’audit valide ou construit le portefeuille de risques risque du projet Évaluation du risque L’audit expertise ou calcule la criticitédes risques Recherche des L’audit examine ou émet les recommandations pour moyens de réduction une solution optimale dans le contexte du projet4Le lancement des audits Options proposées Commentaires Tous les projets • L’approche évidemment la plus coûteuse. • Peut être le moteur de la diffusion de bonnes pratiques au sein de ...
Guide publié par le Groupe de travail AFAI Audit et Contrôle des Projets Informatiques
Daniel Mahé
Guide d'Audit des projets informatiques
2
Le guide Les lecteurs du guide §Une démarche pour§Auditeurs informatiques : choisir et définir les Axes de réflexion et missions d'audit de d'amélioration de leur projets informatiques pratique. §Une méthode de §Commanditaires : conduite de ces audits, Critères de définition des centrée sur trois programmes d'audits et aspects: recommandations pour –la conduite du projet mieux communiquer avec –les risques du projet les auditeurs. –l'insertion du projet§Chefs de projets dans l'entreprise informatiques Enjeux des audits et attentes des auditeurs.
Projets, audits et analyse de risques
Développement Itératifs
Maintenanceet évolutions
Étude et déploiement d’infrastructures
Maîtrise des risques Identification du risque Évaluation du risque
Recherche des moyens de réduction
Mise en place de progiciels
Intégration de systèmes
3
Niveau de maturité de l'organisation
Rôles de l'audit L’audit valide ou construit le portefeuille de risques du projet L’audit expertise ou calcule la criticité des risques
L’audit examine ou émet les recommandations pour une solution optimale dans le contexte du projet
Le lancement des audits
Options proposées
Tous les projets
Projets choisi en termes§ d’enjeux
Projets en difficulté
Modèle de surveillance
§
Commentaires
4
L’approche évidemment la plus coûteuse. Peut être le moteur de la diffusion de bonnes pratiques au sein de l’organisation Le produit : Caractère stratégique, Volume des flux comptables ou financiers, Sensibilité, Diffusion Le projet : Coût, Externalisation, Maîtrise de la technologie. Nécessite une gestion du portfolio de projets. Mais diminue le coût global de l’audit. Un complément indispensable à l’approche précédente ou l’option minimale. Prise d’information continue, normalisation des informations, seuils d’alerte Réservée aux organisations dont le niveau de maturité permet une mesure réelle et continue des projets.
Produit délivré
Objectifs d'un audit
Conduite du projet
Qualité de l’expression des besoins (Cahier des charges) Conformité de la définition de la solution (Spécifications) par rapport aux besoins exprimés Complétude des livrables du projet par rapport aux besoins Qualité de la documentation fournie Adéquation des choix techniques par rapport aux besoins Qualité de la solution technique Maîtrise de l’intégration dans l’ensemble du SI Utilisabilité de la solution Adéquation des dispositifs Sécurité prévus
5
Opportunité du projet (en phase préalable) Conformité des processus projet aux procédures et standards applicables Qualité du management du projet Qualité du management des ressources humaines dans le projet Qualité de la maîtrise du besoin par le projet Qualité du management de la communication Maîtrise des coûts par le projet Maîtrise des délais par le projet Qualité de la gestion des risques Conformité des choix techniques avec la stratégie informatique Maîtrise des technologies et outils Qualité du management des soustraitants et des approvisionnements Maîtrise des processus de Vérif. & Valid. Maîtrise du produit par le projet Maîtrise du déploiement par le projet Qualité de la communication du projet Maîtrise de la conduite du changement Qualité des dispositifs prévus pour prendre en charge la fin du projet Adéquation des compétences affectées Maîtrise des conditions de succès par le projet
La définition des objectifs
La prise de décisions structurantes
La définition détaillée du produit et du projet
La livraison du produit
Les résultats du projet
Objectifs
Qualité de l’expression des besoins (Cahier des charges)
Conformité de la définition de la solution (Spécifications) par rapport aux besoins
Complétude des livrables du projet par rapport aux besoins
Fin d’étude préalable
Fin des spécifications techniques
Fin de la recette
Fin du projet
Fin étude préalable ***
Fin spéc. Tech. ***
***
*
Fin Recette
*
***
6
Fin Projet
*
Points de contrôles et objectifs
Maîtrise du déploiement par le projet
Opportunité du projet (en phase préalable)
·
·
·
· ·
· ·
7
Qualité et faisabilité technique de la migration des données. : Taux de réussite, traitement des données non reprises et des cas ambigus. Procédés de vérifications de la qualité et de la complétude de la migration. Qualité et faisabilité du déploiement de l’infrastructure : Planning et ressources définis, niveau de préparation des sites, des locaux et du câblage, information des utilisateurs, tests des procédures de déploiement, efficacité des procédures de reporting et d’alerte Qualité et faisabilité du déploiement du produit : Procédures de déploiement et d’installation opérationnelles, information des acteurs, planning et ressources définis.
Justification fonctionnelle ou « métier » du projet Justification économique du projet et éventuellement retour sur investissement attendu Toutes les expertises ontelles été sollicitées ? Les engagements de moyens, les coûts et les bénéfices attendus correspondentils à des engagements pris par des responsables ou seulement à des hypothèses ?
Les acteurs de la mission d'audit
L’équipe d’audit
Le commanditaire
8
Lettre de Mission Objet de la mission : projet et objectifs Périmètre : champ de l’audit et exigences attendues en matière de preuves, Accès sur site, moyens spécifiques. Restitution au commanditaire, ou diffusion plus large (communication auprès des auditées) Devoir de confidentialité spécifique Niveau de confidentialité du rapport Les personnes interrogées
Le déroulement d'une mission
Préparation
Réalisation
Restitution
Lettre mission
Acculturation
Risques ?
Objectifs
Prise contact
Interviews
Autres sources informations
Rapport
Restitution
9
Option : Validation des CR
Option: Réunion avec audités
Option : Debriefing provisoire
Les sources d'information
Les entretiens §Questionnaire §Feuille de révélation et d’analyse de problème
§ § § §
§
§
§
10
La documentation Le benchmarking Les essais L’analyse des tests et contrôles qualité Les analyses de coût et de planning le suivi des évolutions de périmètre Les états de configuration
§ § § §
§ § § §
§
§
§
11 règles d'audit de projet informatique
Le projet est une organisation apprenante Le projet vit continuellement des changements Le projet change continuellement de dimension Le projet est une organisation temporaire
Le projet ajuste les référentiels de l’organisation Le projet reflète le niveau de maturité de l'organisation Le projet est intégré dans une organisation complexe Le projet est un lieu d'innovation dans l’organisation
11
L’informatique est une technologie qui possède des contraintes propres Les systèmes d’information sont souvent des systèmes critiques pour l'organisation Le projet informatique est un vecteur de changement dans l'organisation