Audit Des Projets Informatiques1204

Laudit des projets informatiques
en partenariat avec
16 novembre 2006
Audit des projets informatiques

De l'valuation des processus projets l'audit de projet : retours d'expriences. Quels rfrentiels, quelles pratiques ? Les points de vigilances, les points de repres
*************************************** Gina Gull-Mnez sanofi-aventis
Direction de lAudit Informatique
Directeur de lAudit des Processus et des Projets Informatiques
Institut de lAudit Interne
>> Laudit des projets informatiques

Page 2 - 16 novembre 2006
Plan de la prsentation
1. Introduction 2. Evaluation des processus projet
Contextes Rfrentiels utiliss Pratiques
3. Audit des projets informatiques
Contexte sanofi-aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
4. Questions rponses
Objectif de la prsentation
Partager des retours d'expriences..
Lexprience, voil le matre en toutes choses. (Jules Csar)

Chacune de ces expriences est lie son contexte. Deux points de vue successif *:
Auditeur Qualit (Amlioration continue) Auditeur Interne
Mise profit des dispositifs daudit qualit dans le monde de laudit interne
(*) Prise de position IFACI AUDIT INTERNE QUALIT - mai 2004

Evaluation des processus projets Les contextes
Direction Qualit dans une SSII (certification ISO 9000)

Programme damlioration des dveloppements logiciel dun grand groupe industriel (SW-CMM)
Programme damlioration des processus logiciel chez un grand oprateur tlcom (ISO 15504-Spice)

Evaluer les processus projets Les rfrentiels utiliss
ISO 9000 Modle dassurance qualit utilis pour la certification des systmes de management de la qualit. Les normes de la famille ISO 9000 constituent un ensemble de rfrences de qualit incontest sur le plan mondial. ISO 15504 (SPICE) - Norme pour lvaluation de processus logiciels, synthse des dmarches d valuation et d amlioration de processus logiciel : CMM, BootStrap, TRILLIUM, est cohrente avec les normes existantes : ISO 9000, ISO 12207. Elle est applicable un large domaine d applications, daffaires, de tailles dorganisation de projets. Elle permet de comparer des entits semblables et elle produit des profils de processus cots selon une chelle six niveaux. CMMI est un cadre de rfrence dvelopp par le SEI visant guider les organisations dans leur dmarche d'amlioration des processus informatiques. Ce modle permet, en fonction des pratiques clefs mises en place par une organisation, de dterminer son niveau de maturit globale (sur une chelle de 1 5) et son profil de capacit (chelle de 0 5 par processus).
ISO : International Organization for Standardization SPICE : Software Process Improvement Capability dEtermination CMMI : Capability Maturity Model Integration SEI : Software Engineering Institute

Evaluer les processus projets Les rfrentiels utiliss
Critres Communs (ISO 15408) a pris le relais des ITSEC dans le processus dvaluation du niveau de scurit des logiciels et systmes dinformation. Ils dfinissent les procdures et les mesures techniques normalises prendre en compte dans le cycle de vie dun produit logiciel.
ITIL recense, synthtise et dtaille les meilleures pratiques pour la fourniture de services informatiques. ITIL donne des recommandations, des informations dtailles sur les processus, des descriptions de postes, des rgles de gestion. ITIL couvre le domaine de la production informatique. Le PMBOK est un rfrentiel des connaissances en gestion de projet promu par le Project Management Institute (PMI). Il dcrit des connaissances et des mthodes applicables la majorit des projets, qu'ils soient informatiques ou non, sur lesquelles il y a un consensus gnral sur leur valeur et leur utilit. Il donne un lexique commun et des mthodes de communication.
ITSEC
Information Security Evaluation Criteria ITIL Information Technology Infrastructure Library PMBOK Project Management Body of Knowledge

Evaluation des processus projets Les pratiques
Direction Qualit dans une SSII (certification ISO 9000)

Un systme qualit certifi pour dmontrer sa mise en place : donner confiance en externe en situation contractuelle Des audits qualit des projets informatiques : Rfrentiel : ISO 1011 , Systme Qualit de la SSII Objectifs :

ISO 9001
Etape 1 Conformit au systme qualit Etape 2 valuation du besoin dactions damlioration ou de correction -
Point fort : caractre quasi universel Point faible : trs gnrale, a t complte par des guides ou exigences spcifiques au domaine dapplication (mtier informatique)
ISO 1011-1,-2 et-3 a t remplac par ISO 19011 : Lignes directrices relatives aux audits de systmes de management de la qualit et/ou de management environnemental

Programme damlioration des dveloppements logiciel dun grand groupe industriel

Dmarche de certification ISO 9000
Un rfrentiel interne de dveloppement logiciel fond sur DOD 2167 A

Prcurseur de lutilisation du SW-CMM
Dautres normes applicables au dveloppement informatique : Critres Communs,..
DOD 2167 A Defense System Software Development

Le SEI pour le DoD a dvelopp un modle de maturit du processus (CMM) et une mthode d'valuation, et partir de 1993 le niveau 3 est demand dans les appels d'offres En 1993, lancement dun programme damlioration pour toutes les Units avec pour objectif : obtenir le niveau 2 SW-CMM (environ 24 36 mois) continuer l'amlioration des processus en vue d'atteindre le niveau 3 (24 mois de plus) la prise en compte du besoin client en impliquant les quipes logicielles dans la phase de dfinition des systmes, la matrise des cots et dlais en s'appuyant sur des pratiques efficaces de conduite et planification des projets informatiques, la matrise des logiciels livres et de leurs volutions. Un corps d'valuateurs Des runions mensuelles entre SEPG - Software Engineering Process Group
Ce programme doit amliorer :
Organe de coordination des Units est constitu :
DoD Department of Defense

Le niveau CMM n'est pas certifiable au sens o on l'entend habituellement pour d'autres reconnaissances de la Qualit. L'apprciation de l'atteinte d'un niveau rsulte d'une auto-valuation ralise par une quipe interne de 5 ou valuateurs forms. La bonne application de la mthode est vrifie, pendant l'valuation, par le lead-assessor accrdit par le SEI. Un processus d'valuation strictement dfini, avec une analyse de la documentation des interviews (tirage au sort des interviews) des debriefings provisoires une prsentation des constats finals et du niveau atteint
A l'issue de cette valuation, un rapport rdig par l'quipe d'valuation, discut et admis par les valus, est remis la Direction de l'organisation: il prcise les forces et les faiblesses identifies et indique le niveau atteint Les rsultats sont contrls par le SEI

Amlioration des processus de dveloppement
La progression dans les niveaux correspond une diminution progressive des risques et corrlativement une augmentation de la matrise du processus de dveloppement du logiciel
Atteinte du niveau 2 = La matrise ncessaire est en place pour pouvoir reproduire des succs sur des projets de mme type. Les directives guident la mise en place du processus existant

Evaluation des processus Les pratiques
Le SW-CMM a t largement utilis (il nest plus maintenu): Plus de 50 pays 3000 valuations rfrences au SEI 2000 entreprises Aujourdhui, CMMI regroupe : SW-CMM (software), SE-CMM (Systme), IPD-CMM (Integrated Product Development), SA-CMM (Software Acquisition) 2 reprsentations : par niveau de maturit, par aptitude (par processus) Scampi : mthode dvaluation CMMI et ISO 9001 sont bass sur une approche processus et d'amlioration continue mais : CMMI traite de la gestion des risques, contrairement l'ISO 9001 une grande partie des exigences de l'ISO 9001 sont couvertes par latteinte du niveau 2 CMMI ; certaines exigences ISO 9001 se retrouvent plus spcifiquement au niveau 3 CMMI.

Programme damlioration des processus informatiques chez un grand oprateur tlcom (ISO 15504) Objectifs : Amlioration des processus des projets informatiques Contribuer au dveloppement des services offerts au client Donner un avantage comptitif au Groupe. Comment : Le recensement des meilleures pratiques informatiques pour construire le rfrentiel Une cartographie des processus informatiques : les processus sont regroups selon la norme ISO 12207 Des valuations de maturit des processus projets avec le modle ISO SPICE pour identifier les points forts et les points faibles Des projets damlioration de processus pour dfinir et gnraliser les actions damlioration
ISO 12207 - Processus du cycle de vie du logiciel.

Evaluation des processus projets La cartographie des processus informatiques

Stratgie DSI
Ressources humaines
Achat
Pilotage suivi
Les besoins du client
Conduire un projet informatique Dployer Exploiter
La satisfaction du client
Cartographie applicative
Validation
Capitalisation

Evaluation des processus projets Processus concerns

5 processus prioritaires (identiques toutes les units) Gestion de projet Gestion des exigences Gestion de configuration Gestion de la sous-traitance Assurance Qualit + 3 processus complmentaires Maintenance (ENG 2 : maintenance du systme et du logiciel) Gestion documentaire (SUP 1: documentation) Validation (ENG 1.6 : essai du logiciel) Les processus prioritaires font l'objet d'valuations. Objectif intermdiaire au bout de 12 mois : Gestion de projet - niveau 2 Gestion de configuration - niveau 2 Gestion des exigences - niveau 1 Assurance qualit - niveau 1 Acquisition - niveau 3 Les valuations sont faites sur les processus des projets Les plans dactions des projets sont tablis, suivis puis mis jour suite chaque valuation
Modle

Evaluation des processus projets Rsultats de lvaluation

A lissue dune valuation, chaque processus est caractris par son niveau daptitude compte tenu de son objectif damlioration. Objectifs du programme d'amlioration
Rsultats dvaluation
5 4 3 2 1 0
Gestion projet Qualit Gestion conf Soustraitance Gestion exigences

Synthse
ISO 15504 (SPICE)
Modle utilis dans le monde entier et sur tout type dactivit (R&D,) Pas de dtermination de la maturit de lorganisation mais un profil daptitude par processus Pas de schma unique dvaluation - lauto-valuation est encourage par la norme Pas de systme de reconnaissance externe
CMMI
Grosse promotion du SEI Souvent retenu en France comme rfrence Compatible avec ISO 15504 Evaluation lourde, pas de version franaise Transmission du rsultat de lvaluation au SEI

sanofi-aventis, les chiffres-cls

1er groupe europen et 3e mondial de lindustrie pharmaceutique 7 domaines thrapeutiques majeurs : cardiovasculaire, thrombose, maladies mtaboliques, oncologie, systme nerveux central, mdecine interne, vaccins
Chiffre d'affaires 2005 : 27,3 Mds Rsultat net ajust 2005 : 6,3 Mds (+26,1%) 3me budget de lindustrie pharmaceutique en R&D : 4 Mds 127 molcules et vaccins en dveloppement dont 56 en phases avances Prs de 97 200 collaborateurs dans le monde
Une prsence dans plus de 100 pays

sanofi-aventis, les domaines thrapeutiques
Pour rpondre aux besoins de sant du plus grand nombre, le Groupe propose et recherche des solutions dans sept domaines thrapeutiques majeurs :
Cardio-vasculaire : hypertension artrielle, fibrillation auriculaire, maladie artrielle priphrique, insuffisance cardiaque, thrombose artrielle ou veineuse Maladies thrombotiques : thrombose veineuse profonde avec ou sans embolie pulmonaire, athrothrombose, syndromes coronariens aigus Maladies mtaboliques : le diabte de types 1 et 2

sanofi-aventis, les domaines thrapeutiques
Oncologie : cancer colorectal, du sein, du poumon non petites cellules, de la prostate, gastrique, de la tte et du cou (ORL), hmopathies malignes, (leucmies), mlanome Systme nerveux central : insomnie, maladie dAlzheimer, sclrose en plaques, schizophrnie, pilepsie, dpression, anxit, sevrage tabagique, maladie de Parkinson, lsion de la moelle pinire Mdecine interne : infections bactriennes, virales et parasitaires, polyarthrite rhumatode, ostoporose, douleur, urologie, bronchopneumopathie chronique obstructive, allergie, inflammation, incontinence urinaire, hypertrophie bnigne de la prostate Vaccins : contre la grippe, la mningite, la poliomylite, combinaisons vaccinales, vaccins srums destins aux voyageurs et zones endmiques

Les 15 premiers mdicaments du Groupe

Mdicaments

CA 2005 En millions deuros

volution donnes comparables

Lovenox / Clexane Plavix / Iscover Taxotere Eloxatine Stilnox / Ambien / Myslee Allegra Lantus Delix / Tritace / Triatec Copaxone Aprovel / Avapro /Karvea Amaryl Actonel Dpakine Xatral Nasacort
2 143 2 026 1 609 1 564 1 519 1 345 1 214 1 009 902 892 677 364 318 328 278
+ 13,8 % + 20,2 % + 12,8 % + 30,6 % + 10,6 % - 9,1 % + 47,5 % + 2,4 % + 24,1% + 13,9 % + 0,7% + 23,8 % + 4,6 % + 18,4 % 2,1 %

sanofi-aventis Organisation et contrle interne
Le contrle interne est une proccupation historique du Groupe sanofi-aventis et ses filiales franaises sont soumises la loi de scurit financire du 1er aot 2003 . sanofi-aventis est galement tenu de respecter les dispositions de la loi Sarbanes Oxley du 30 juillet 2002. sanofi-aventis sappuie sur une Direction de l'Audit et de lEvaluation du Contrle Interne directement rattache au Prsident-Directeur Gnral, afin d'assurer son indpendance.

Audit des projets informatiques Contexte sanofi-aventis
Une Direction de lAudit Informatique au sein de la Direction de lAudit et de lEvaluation du Contrle Interne
Hritage
De 25 ans de pratiques de laudit interne De sa forte crdibilit De son indpendance Dun taux lev de prise en compte de ses recommandations
Mission de lAudit Informatique
La mission de la direction de lAudit Informatique :

Evaluer la fiabilit, lintgrit, la scurit des applications, infrastructures et rseaux informatiques,
Evaluer le dispositif de contrle au sein des processus et des projets informatiques.
Ces missions sexercent dans le cadre des missions dassurance selon lIFACI : Les services dassurance impliquent lvaluation objective par lauditeur interne afin de procurer une opinion indpendante sur le processus ou le systme audit. La nature et ltendue des travaux dassurance sont dtermins par lauditeur interne. Les missions de conseil sont exclues.
A laide des outils technologiques et de l'expertise appropris, valuer l'adquation et l'efficacit des systmes de contrles qui adressent les risques manant de la mise en uvre par une organisation, de la technologie en support de ses objectifs business. COSO

Audit des projets informatiques Rfrentiels externes utiliss
Respect des normes internationales pour la pratique professionnelle de laudit interne pour la conduite des audits, le choix des auditeurs. IFACI, ISACA
Le CObIT Modle de rfrence pour la gouvernance des technologies de l'information, permet de comprendre et de grer les risques lis aux systmes d'information, repose sur la dfinition de 34 processus. Le modle d'valuation est calqu sur celui des capacits logicielles (type CMM). Sarbanes Oxley impose d'utiliser l'infrastructure de contrle interne COSO . COBIT tait la meilleure voie pour valuer la conformit aux exigences du COSO. ISO 17799 (BS 7799) - Catalogue de bonnes pratiques assurant un client que ses informations sont gres de manire scurise par son fournisseur. Complment de rponse aux obligations de scurit des systmes d'information.
CMMI/ISO 15504 et ITIL.
CObIT - Control Objectives for Information and related Technology
COSO - Committee of Sponsoring Organizations Institut de lAudit Interne

Audit des projets informatiques Ralisation dune mission

IS Audit assignment execution procedure
Documentation Management
Global risk assessment Assignment letter Integration package Collected material {Data collection material template} {IS Audit Program} {Audit preparation memo template}
Quality Management
Audit preparation
Audit preparation memo
External resources integration meeting Data collection Risk assessment Audit Program selection
Adapted audit program
{Checkpoint 1}
Checkpoint minutes
Checkpoint 1
Updated Dashboard
Fieldwork
{Opening meeting presentation template} {Weekly update} {Closing meeting presentation template} .
Interview material Opening meeting minutes Evidences / supporting materials Closing meeting minutes
Opening meeting Interviews Data collection Weekly update Closing meeting
{Checkpoint 2}
Checkpoint 2
Checkpoint minutes Updated Dashboard
Audit report
Draft Audit Report {IS Audit report template} Auditees' comments
Findings and good practices validation Drafting and sending audit report for comments Internal validation
Final Audit Report Updated findings database Updated good practices database
Checkpoint minutes {Checkpoint 3}
Checkpoint 3
Updated Dashboard
AICA/ISA
Publication: 20 July 2005

Audit des projets informatiques Programme de travail

Review area No of review areas
14 6 4 3 7 12 46 1 9
Reviewed
8
Work in Progress
5 3 4 3 7 7 29
To be started
1 3 1
A-Project Management A - Project Management

B - Application environment C - Application controls D - Infrastructure E - Change Management F - Systems Development Life Cyle
4 9
Control Theme ID
Control Objective
Test guidance
Control documentation (Type and Reference)
Contact
Progress Comments
IT Risk Impact
A - Project Management A.7 Organisationa Organisational Check that there is sufficient awareness and understanding of information l policies policies are policies and procedures clearly Check that Management implements a communication process and tools communicated, communicating policies understood as Regular campaigns exist to check awareness of the project and key goals part of the project A.8 Steering Is there a project steering committee and high-level sponsor who exercise committees IT management control over the project ? and business The Steering Committee, should among other things, be looking very process owners carefully to see that regular milestones were included in the project plan. It is establish and expected that reports from, and discussions with the project team manager on apply a structured the achievements against these milestones are promptly reported. approach Are steering commitees planed ? regarding the long- Minutes from IT planning/steering committee meetings reflect the planning range planning process. process. Planning methodology deliverables exist and are as prescribed.
Low Mod High Minutes Key users Workshops local presentations (eg. kick off meeting) Steering committes minutes A. Einstein - Key users have been interviewed and are well aware of the project - Communication process is in place and well coordinated : weekly meetings, local involvement from PM UK 1
- G. are sponsors of the project - Steering committees are planned every 2 months - Minutes do not clearly reflect planning - Project deliverables exist
CMM
Audit des projets informatiques Ralisation dune mission
En fonction de lavancement du projet, sont audits la fois :
Les activits : planification, suivi de projet, lanalyse des risques, tests, gestion des habilitations,..
Les produits des activits : plans de projet, documents de conception, jeux de tests et manuels utilisateur.
Lquipe daudit est pluri-disciplinaire : Comptences en SI Comptences en audit interne Comptences en gestion de projet Ressources externes.

Audit des projets informatiques Points de vigilance
Le projet est une organisation temporaire, qui change continuellement de dimension et qui vit continuellement des changements. Les constats valides un instant t peuvent tre remis en question t+1 Les recommandations publies la diffusion des rapports sont parfois perues comme tardives Dlais rduits, primtres complexes avec un grand nombre dacteur. Notre mission ne doit pas se substituer la responsabilit organisationnelle du responsable scurit ou du responsable qualit en effet, les processus informatiques sont dsormais soumis aux normes qualit.

Audit des projets informatiques Points de repres
On cherchera saffranchir de la dimension temporelle du projet en auditant :

Le plus possible en amont (ex rponse aux besoins utilisateurs) Une fois le projet termin : audit post projet Les projets en difficults, sur demande du management Les processus informatiques
Les points de contrles et objectifs daudit de projet ont t intgrs nos programmes daudit catalogue des missions daudit processus Par exemple :
Audit de la gestion des besoins des utilisateurs couvrant lalignement stratgique Audit du processus de dploiement : niveau de prparation des sites, tests des procdures de dploiement, efficacit des procdures de reporting et dalerte, communication. Audit du processus de migration des donnes avec notamment, procds de vrifications de la qualit et de la compltude de la migration, traitement des donnes non reprises et des cas ambigus.

Audits des projets informatiques Points de repres

Rfrentiels : COSO, CObIT, CMM, ITIL
Politiques Qualit, Scurit .. procdures

Audit de conformit
Avant-projet
Audit de la gestion des besoins utilisateurs
Projet
Audit projets en difficult
Post-projet
Audit post-projet

Audit des projets informatiques En guise de conclusion
Pour un service daudit interne : intrt de sapproprier des outils venant du monde de la qualit. Dans CObIT v4.0, le guide de laudit est remplac par le Guide de lassurance des TI qui montre comment CObIT peut tre utilis pour :
valuation des risques et de la valeur Evaluation et test de contrle Maturit de contrle et auto-valuation
Quel que soit le rfrentiel utilis, lentreprise en construisant sa cartographie des processus informatiques, structure son approche de contrle interne.

Audit des projets informatiques Liens

ADELI (Project Management Institute) : www.adeli.org AFAI (Association Franaise de lAudit et du Conseil Informatiques ) : www.afai.asso.fr AFNOR (Association Franaise de NORmalisation) : www.afnor.fr COSO (Committee of Sponsoring Organizations of the Treadway Commission) : www.coso.org IFACI (Institut Franais de lAudit et du Contrle Interne) : www.ifaci.com ISACA (Information Systems Audit and Control Association) : www.isaca.org ISO (Organisation Internationale de Normalisation) : www.iso.org ITIL (Committee of Sponsoring Organizations of the Treadway Commission) : www.itil.co.uk PMI (Project Management Institute) : www.pmi.org SEI (Software Engineering Institute) : www.sei.cmu.edu Comparatif,analyse et tendances ITIL, CObIT, ISO 27001, eSCM , Jacqueline Sidi, Martie Otter, Laurent Hanaud, 2006 CMMI Un itinraire flch vers le Capability Maturity Model Integration Richard Basque, Dunod 2004

Contexte Sanofi-Aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
Merci de votre attention !
Questions rponses


Audit Des Projets Informatiques1204

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Des Projets Informatiques1204

Transféré par

Droits d'auteur :

Formats disponibles

Laudit des projets informatiques

Audit des projets informatiques

Institut de lAudit Interne

>> Laudit des projets informatiques

Contextes Rfrentiels utiliss Pratiques

3. Audit des projets informatiques

Institut de lAudit Interne

>> Laudit des projets informatiques

Contextes Rfrentiels utiliss Pratiques

3. Audit des projets informatiques

Evaluation des processus projets Les contextes

Direction Qualit dans une SSII (certification ISO 9000)

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluer les processus projets Les rfrentiels utiliss

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluer les processus projets Les rfrentiels utiliss

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Les pratiques

Direction Qualit dans une SSII (certification ISO 9000)

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Les pratiques

Programme damlioration des dveloppements logiciel dun grand groupe industriel

Un rfrentiel interne de dveloppement logiciel fond sur DOD 2167 A

Dautres normes applicables au dveloppement informatique : Critres Communs,..

DOD 2167 A Defense System Software Development

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Les pratiques

Ce programme doit amliorer :

Organe de coordination des Units est constitu :

DoD Department of Defense

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Les pratiques

Institut de lAudit Interne

>> Laudit des projets informatiques

Amlioration des processus de dveloppement

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus Les pratiques

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Les pratiques

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets La cartographie des processus informatiques

Les besoins du client

Conduire un projet informatique Dployer Exploiter

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Processus concerns

Institut de lAudit Interne

>> Laudit des projets informatiques

Evaluation des processus projets Rsultats de lvaluation

Institut de lAudit Interne

>> Laudit des projets informatiques

ISO 15504 (SPICE)

Institut de lAudit Interne

>> Laudit des projets informatiques

Contextes Rfrentiels utiliss Pratiques