Académique Documents
Professionnel Documents
Culture Documents
en partenariat avec
16 novembre 2006
Plan de la prsentation
1. Introduction 2. Evaluation des processus projet
Contexte sanofi-aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
4. Questions rponses
Institut de lAudit Interne
>> Laudit des projets informatiques
Page 3 - 16 novembre 2006
Objectif de la prsentation
Partager des retours d'expriences..
Lexprience, voil le matre en toutes choses. (Jules Csar)
Chacune de ces expriences est lie son contexte. Deux points de vue successif *:
Auditeur Qualit (Amlioration continue) Auditeur Interne
Mise profit des dispositifs daudit qualit dans le monde de laudit interne
(*) Prise de position IFACI AUDIT INTERNE QUALIT - mai 2004
Plan de la prsentation
1. Introduction 2. Evaluation des processus projet
Contexte sanofi-aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
4. Questions rponses
Institut de lAudit Interne
>> Laudit des projets informatiques
Page 5 - 16 novembre 2006
Programme damlioration des processus logiciel chez un grand oprateur tlcom (ISO 15504-Spice)
ISO 9000 Modle dassurance qualit utilis pour la certification des systmes de management de la qualit. Les normes de la famille ISO 9000 constituent un ensemble de rfrences de qualit incontest sur le plan mondial. ISO 15504 (SPICE) - Norme pour lvaluation de processus logiciels, synthse des dmarches d valuation et d amlioration de processus logiciel : CMM, BootStrap, TRILLIUM, est cohrente avec les normes existantes : ISO 9000, ISO 12207. Elle est applicable un large domaine d applications, daffaires, de tailles dorganisation de projets. Elle permet de comparer des entits semblables et elle produit des profils de processus cots selon une chelle six niveaux. CMMI est un cadre de rfrence dvelopp par le SEI visant guider les organisations dans leur dmarche d'amlioration des processus informatiques. Ce modle permet, en fonction des pratiques clefs mises en place par une organisation, de dterminer son niveau de maturit globale (sur une chelle de 1 5) et son profil de capacit (chelle de 0 5 par processus).
ISO : International Organization for Standardization SPICE : Software Process Improvement Capability dEtermination CMMI : Capability Maturity Model Integration SEI : Software Engineering Institute
Critres Communs (ISO 15408) a pris le relais des ITSEC dans le processus dvaluation du niveau de scurit des logiciels et systmes dinformation. Ils dfinissent les procdures et les mesures techniques normalises prendre en compte dans le cycle de vie dun produit logiciel.
ITIL recense, synthtise et dtaille les meilleures pratiques pour la fourniture de services informatiques. ITIL donne des recommandations, des informations dtailles sur les processus, des descriptions de postes, des rgles de gestion. ITIL couvre le domaine de la production informatique. Le PMBOK est un rfrentiel des connaissances en gestion de projet promu par le Project Management Institute (PMI). Il dcrit des connaissances et des mthodes applicables la majorit des projets, qu'ils soient informatiques ou non, sur lesquelles il y a un consensus gnral sur leur valeur et leur utilit. Il donne un lexique commun et des mthodes de communication.
ITSEC
Information Security Evaluation Criteria ITIL Information Technology Infrastructure Library PMBOK Project Management Body of Knowledge
ISO 9001
Etape 1 Conformit au systme qualit Etape 2 valuation du besoin dactions damlioration ou de correction -
Point fort : caractre quasi universel Point faible : trs gnrale, a t complte par des guides ou exigences spcifiques au domaine dapplication (mtier informatique)
ISO 1011-1,-2 et-3 a t remplac par ISO 19011 : Lignes directrices relatives aux audits de systmes de management de la qualit et/ou de management environnemental
Le SEI pour le DoD a dvelopp un modle de maturit du processus (CMM) et une mthode d'valuation, et partir de 1993 le niveau 3 est demand dans les appels d'offres En 1993, lancement dun programme damlioration pour toutes les Units avec pour objectif : obtenir le niveau 2 SW-CMM (environ 24 36 mois) continuer l'amlioration des processus en vue d'atteindre le niveau 3 (24 mois de plus) la prise en compte du besoin client en impliquant les quipes logicielles dans la phase de dfinition des systmes, la matrise des cots et dlais en s'appuyant sur des pratiques efficaces de conduite et planification des projets informatiques, la matrise des logiciels livres et de leurs volutions. Un corps d'valuateurs Des runions mensuelles entre SEPG - Software Engineering Process Group
Le niveau CMM n'est pas certifiable au sens o on l'entend habituellement pour d'autres reconnaissances de la Qualit. L'apprciation de l'atteinte d'un niveau rsulte d'une auto-valuation ralise par une quipe interne de 5 ou valuateurs forms. La bonne application de la mthode est vrifie, pendant l'valuation, par le lead-assessor accrdit par le SEI. Un processus d'valuation strictement dfini, avec une analyse de la documentation des interviews (tirage au sort des interviews) des debriefings provisoires une prsentation des constats finals et du niveau atteint
A l'issue de cette valuation, un rapport rdig par l'quipe d'valuation, discut et admis par les valus, est remis la Direction de l'organisation: il prcise les forces et les faiblesses identifies et indique le niveau atteint Les rsultats sont contrls par le SEI
La progression dans les niveaux correspond une diminution progressive des risques et corrlativement une augmentation de la matrise du processus de dveloppement du logiciel
Atteinte du niveau 2 = La matrise ncessaire est en place pour pouvoir reproduire des succs sur des projets de mme type. Les directives guident la mise en place du processus existant
Le SW-CMM a t largement utilis (il nest plus maintenu): Plus de 50 pays 3000 valuations rfrences au SEI 2000 entreprises Aujourdhui, CMMI regroupe : SW-CMM (software), SE-CMM (Systme), IPD-CMM (Integrated Product Development), SA-CMM (Software Acquisition) 2 reprsentations : par niveau de maturit, par aptitude (par processus) Scampi : mthode dvaluation CMMI et ISO 9001 sont bass sur une approche processus et d'amlioration continue mais : CMMI traite de la gestion des risques, contrairement l'ISO 9001 une grande partie des exigences de l'ISO 9001 sont couvertes par latteinte du niveau 2 CMMI ; certaines exigences ISO 9001 se retrouvent plus spcifiquement au niveau 3 CMMI.
Programme damlioration des processus informatiques chez un grand oprateur tlcom (ISO 15504) Objectifs : Amlioration des processus des projets informatiques Contribuer au dveloppement des services offerts au client Donner un avantage comptitif au Groupe. Comment : Le recensement des meilleures pratiques informatiques pour construire le rfrentiel Une cartographie des processus informatiques : les processus sont regroups selon la norme ISO 12207 Des valuations de maturit des processus projets avec le modle ISO SPICE pour identifier les points forts et les points faibles Des projets damlioration de processus pour dfinir et gnraliser les actions damlioration
ISO 12207 - Processus du cycle de vie du logiciel.
Ressources humaines
Achat
Pilotage suivi
La satisfaction du client
Cartographie applicative
Validation
Capitalisation
Modle
Rsultats dvaluation
5 4 3 2 1 0
Gestion projet Qualit Gestion conf Soustraitance Gestion exigences
Synthse
Modle utilis dans le monde entier et sur tout type dactivit (R&D,) Pas de dtermination de la maturit de lorganisation mais un profil daptitude par processus Pas de schma unique dvaluation - lauto-valuation est encourage par la norme Pas de systme de reconnaissance externe
CMMI
Grosse promotion du SEI Souvent retenu en France comme rfrence Compatible avec ISO 15504 Evaluation lourde, pas de version franaise Transmission du rsultat de lvaluation au SEI
Plan de la prsentation
1. Introduction 2. Evaluation des processus projet
Contexte sanofi-aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
4. Questions rponses
Institut de lAudit Interne
>> Laudit des projets informatiques
Page 20 - 16 novembre 2006
1er groupe europen et 3e mondial de lindustrie pharmaceutique 7 domaines thrapeutiques majeurs : cardiovasculaire, thrombose, maladies mtaboliques, oncologie, systme nerveux central, mdecine interne, vaccins
Chiffre d'affaires 2005 : 27,3 Mds Rsultat net ajust 2005 : 6,3 Mds (+26,1%) 3me budget de lindustrie pharmaceutique en R&D : 4 Mds 127 molcules et vaccins en dveloppement dont 56 en phases avances Prs de 97 200 collaborateurs dans le monde
Pour rpondre aux besoins de sant du plus grand nombre, le Groupe propose et recherche des solutions dans sept domaines thrapeutiques majeurs :
Cardio-vasculaire : hypertension artrielle, fibrillation auriculaire, maladie artrielle priphrique, insuffisance cardiaque, thrombose artrielle ou veineuse Maladies thrombotiques : thrombose veineuse profonde avec ou sans embolie pulmonaire, athrothrombose, syndromes coronariens aigus Maladies mtaboliques : le diabte de types 1 et 2
Oncologie : cancer colorectal, du sein, du poumon non petites cellules, de la prostate, gastrique, de la tte et du cou (ORL), hmopathies malignes, (leucmies), mlanome Systme nerveux central : insomnie, maladie dAlzheimer, sclrose en plaques, schizophrnie, pilepsie, dpression, anxit, sevrage tabagique, maladie de Parkinson, lsion de la moelle pinire Mdecine interne : infections bactriennes, virales et parasitaires, polyarthrite rhumatode, ostoporose, douleur, urologie, bronchopneumopathie chronique obstructive, allergie, inflammation, incontinence urinaire, hypertrophie bnigne de la prostate Vaccins : contre la grippe, la mningite, la poliomylite, combinaisons vaccinales, vaccins srums destins aux voyageurs et zones endmiques
Lovenox / Clexane Plavix / Iscover Taxotere Eloxatine Stilnox / Ambien / Myslee Allegra Lantus Delix / Tritace / Triatec Copaxone Aprovel / Avapro /Karvea Amaryl Actonel Dpakine Xatral Nasacort
2 143 2 026 1 609 1 564 1 519 1 345 1 214 1 009 902 892 677 364 318 328 278
+ 13,8 % + 20,2 % + 12,8 % + 30,6 % + 10,6 % - 9,1 % + 47,5 % + 2,4 % + 24,1% + 13,9 % + 0,7% + 23,8 % + 4,6 % + 18,4 % 2,1 %
Le contrle interne est une proccupation historique du Groupe sanofi-aventis et ses filiales franaises sont soumises la loi de scurit financire du 1er aot 2003 . sanofi-aventis est galement tenu de respecter les dispositions de la loi Sarbanes Oxley du 30 juillet 2002. sanofi-aventis sappuie sur une Direction de l'Audit et de lEvaluation du Contrle Interne directement rattache au Prsident-Directeur Gnral, afin d'assurer son indpendance.
Une Direction de lAudit Informatique au sein de la Direction de lAudit et de lEvaluation du Contrle Interne
Hritage
De 25 ans de pratiques de laudit interne De sa forte crdibilit De son indpendance Dun taux lev de prise en compte de ses recommandations
>> Laudit des projets informatiques
Page 26 - 16 novembre 2006
Ces missions sexercent dans le cadre des missions dassurance selon lIFACI : Les services dassurance impliquent lvaluation objective par lauditeur interne afin de procurer une opinion indpendante sur le processus ou le systme audit. La nature et ltendue des travaux dassurance sont dtermins par lauditeur interne. Les missions de conseil sont exclues.
A laide des outils technologiques et de l'expertise appropris, valuer l'adquation et l'efficacit des systmes de contrles qui adressent les risques manant de la mise en uvre par une organisation, de la technologie en support de ses objectifs business. COSO
Respect des normes internationales pour la pratique professionnelle de laudit interne pour la conduite des audits, le choix des auditeurs. IFACI, ISACA
Le CObIT Modle de rfrence pour la gouvernance des technologies de l'information, permet de comprendre et de grer les risques lis aux systmes d'information, repose sur la dfinition de 34 processus. Le modle d'valuation est calqu sur celui des capacits logicielles (type CMM). Sarbanes Oxley impose d'utiliser l'infrastructure de contrle interne COSO . COBIT tait la meilleure voie pour valuer la conformit aux exigences du COSO. ISO 17799 (BS 7799) - Catalogue de bonnes pratiques assurant un client que ses informations sont gres de manire scurise par son fournisseur. Complment de rponse aux obligations de scurit des systmes d'information.
CMMI/ISO 15504 et ITIL.
Quality Management
Audit preparation
Audit preparation memo
External resources integration meeting Data collection Risk assessment Audit Program selection
{Checkpoint 1}
Checkpoint minutes
Checkpoint 1
Updated Dashboard
Fieldwork
{Opening meeting presentation template} {Weekly update} {Closing meeting presentation template} .
Interview material Opening meeting minutes Evidences / supporting materials Closing meeting minutes
{Checkpoint 2}
Checkpoint 2
Audit report
Draft Audit Report {IS Audit report template} Auditees' comments
Findings and good practices validation Drafting and sending audit report for comments Internal validation
Final Audit Report Updated findings database Updated good practices database
Checkpoint 3
Updated Dashboard
AICA/ISA
Reviewed
8
Work in Progress
5 3 4 3 7 7 29
To be started
1 3 1
4 9
Control Theme ID
Control Objective
Test guidance
Contact
Progress Comments
IT Risk Impact
A - Project Management A.7 Organisationa Organisational Check that there is sufficient awareness and understanding of information l policies policies are policies and procedures clearly Check that Management implements a communication process and tools communicated, communicating policies understood as Regular campaigns exist to check awareness of the project and key goals part of the project A.8 Steering Is there a project steering committee and high-level sponsor who exercise committees IT management control over the project ? and business The Steering Committee, should among other things, be looking very process owners carefully to see that regular milestones were included in the project plan. It is establish and expected that reports from, and discussions with the project team manager on apply a structured the achievements against these milestones are promptly reported. approach Are steering commitees planed ? regarding the long- Minutes from IT planning/steering committee meetings reflect the planning range planning process. process. Planning methodology deliverables exist and are as prescribed.
Low Mod High Minutes Key users Workshops local presentations (eg. kick off meeting) Steering committes minutes A. Einstein - Key users have been interviewed and are well aware of the project - Communication process is in place and well coordinated : weekly meetings, local involvement from PM UK 1
- G. are sponsors of the project - Steering committees are planned every 2 months - Minutes do not clearly reflect planning - Project deliverables exist
CMM
Institut de lAudit Interne
>> Laudit des projets informatiques
Page 30 - 16 novembre 2006
Les activits : planification, suivi de projet, lanalyse des risques, tests, gestion des habilitations,..
Les produits des activits : plans de projet, documents de conception, jeux de tests et manuels utilisateur.
Lquipe daudit est pluri-disciplinaire : Comptences en SI Comptences en audit interne Comptences en gestion de projet Ressources externes.
Le projet est une organisation temporaire, qui change continuellement de dimension et qui vit continuellement des changements. Les constats valides un instant t peuvent tre remis en question t+1 Les recommandations publies la diffusion des rapports sont parfois perues comme tardives Dlais rduits, primtres complexes avec un grand nombre dacteur. Notre mission ne doit pas se substituer la responsabilit organisationnelle du responsable scurit ou du responsable qualit en effet, les processus informatiques sont dsormais soumis aux normes qualit.
Les points de contrles et objectifs daudit de projet ont t intgrs nos programmes daudit catalogue des missions daudit processus Par exemple :
Audit de la gestion des besoins des utilisateurs couvrant lalignement stratgique Audit du processus de dploiement : niveau de prparation des sites, tests des procdures de dploiement, efficacit des procdures de reporting et dalerte, communication. Audit du processus de migration des donnes avec notamment, procds de vrifications de la qualit et de la compltude de la migration, traitement des donnes non reprises et des cas ambigus.
Avant-projet
Audit de la gestion des besoins utilisateurs
Projet
Audit projets en difficult
Post-projet
Audit post-projet
Pour un service daudit interne : intrt de sapproprier des outils venant du monde de la qualit. Dans CObIT v4.0, le guide de laudit est remplac par le Guide de lassurance des TI qui montre comment CObIT peut tre utilis pour :
valuation des risques et de la valeur Evaluation et test de contrle Maturit de contrle et auto-valuation
Quel que soit le rfrentiel utilis, lentreprise en construisant sa cartographie des processus informatiques, structure son approche de contrle interne.
ADELI (Project Management Institute) : www.adeli.org AFAI (Association Franaise de lAudit et du Conseil Informatiques ) : www.afai.asso.fr AFNOR (Association Franaise de NORmalisation) : www.afnor.fr COSO (Committee of Sponsoring Organizations of the Treadway Commission) : www.coso.org IFACI (Institut Franais de lAudit et du Contrle Interne) : www.ifaci.com ISACA (Information Systems Audit and Control Association) : www.isaca.org ISO (Organisation Internationale de Normalisation) : www.iso.org ITIL (Committee of Sponsoring Organizations of the Treadway Commission) : www.itil.co.uk PMI (Project Management Institute) : www.pmi.org SEI (Software Engineering Institute) : www.sei.cmu.edu Comparatif,analyse et tendances ITIL, CObIT, ISO 27001, eSCM , Jacqueline Sidi, Martie Otter, Laurent Hanaud, 2006 CMMI Un itinraire flch vers le Capability Maturity Model Integration Richard Basque, Dunod 2004
Plan de la prsentation
1. Introduction 2. Evaluation des processus projet
Contexte Sanofi-Aventis Rfrentiels utiliss Droulement dune mission daudit Points de vigilance, points de repres
4. Questions rponses
Institut de lAudit Interne
>> Laudit des projets informatiques
Page 37 - 16 novembre 2006
Questions rponses