L'audit, un outil de pilotage

pour vos projets

par Marc Barbezat
Soire-formation


Marc Barbezat ...
http://www.isaca.ch/
r Reprsentant romand du comit de
l'association suisse des auditeurs
informatiques ISACA
http://www.iseig.ch/
r Initiateur et coordinateur de la formation
certifiante d'audit informatique CISA en Suisse
romande
r Crateur et responsable de la cellule
d'intelligence conomique pour la banque et la
finance B3B.ch
http://www.bcv.ch/
r Auditeur interne IT,
Groupe Banque Cantonale Vaudoise


Programme Les questions
r Quels sont les objectifs d'un audit de projet ?
r Comment prparer et accompagner le droulement d'un
audit de projet ?
r Quelles informations issues de l'audit peuvent tre
exploites pour le pilotage du projet ?
Prsentation de l'approche d'audit
L'audit: Dfinition, terminologie et principes
Focalis sur la gestion de projet
Focalis sur la gestion de projet


L'audit

Dfinition et contexte d'intervention

Terminologie

Construction du risque

Gestion du risque versus contrle du risque

Dfinition
r L'audit, exerc par un auditeur, est un processus
mthodique, indpendant et document permettant
de recueillir des informations objectives pour
dterminer dans quelle mesure les exigences satisfont
aux rfrentiels du domaine concern.
L'audit
Objectifs des audits:
r Fournir au management l'assurance que les objectifs de
contrle relevant sont atteints
r Identifier les faiblesses significatives dans ces contrles
r Documenter le risque connect avec de telles faiblesses
r Conseiller le management sur les mesures
implmenter


Dfinition
Pour l'auditeur:
r L'audit est le processus permettant la vrification de
l'information et dterminer la prcision et la fiabilit des
assertions du rapport
La vrification est le processus de collecte d'vidence
suffisante permettant l'auditeur de confirmer l'exactitude
de ses constatations, in extenso de sa prise de position

Les vidences d'audit sont toutes les informations qu'un

auditeur utilise pour dmontrer ses constats
L'audit


Code d'thique professionnel
Conformit avec les standards et les meilleures pratiques
Diligence et professionnalisme
Servir l'intrt des actionnaires de manire honnte et respectueuse des lois
Respect de la confidentialit et des affaires prives
Maintien des comptences
Informer et communiquer de manire approprie
Eduquer et sensibiliser les actionnaires
L'audit Dfinition


Types d'audit
L'audit Dfinition
Quelques exemples:
r Audit financier
r Audit oprationnel
r Audit de conformit (lois, rglements)
r Autres audits spcifiques:
Audit intgr (combinant les aspects financiers et oprationnels
Audit administratifs (valuation de l'efficacit oprationnelle /
productivit)
Audit du systme d'information
Audit spcialis (domaine spcifique, dmarche standardise,...)
Audit de forensic (cas de fraude)
...


Stratgie de
l'entreprise
Pilotage d'un
projet
...
Contexte d'intervention
L'audit

Personnes et
organisation
Processus et
fonctionnement
Outils et
technologie

objectifs
objectifs
objectifs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE


Contexte d'intervention
L'audit Contexte d'intervention
Stratgie de
l'entreprise
Pilotage d'un
projet
...

objectifs
objectifs
objectifs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE
F
i
n
a
n
c
i
e
r
C
o
n
f
o
r
m
i
t

O
p

r
a
t
i
o
n
n
e
l
Processus d'audit Processus d'audit
Focalisation sur les domaines
haut risque de la socit

Principe de planification des audits
r Planification long terme
Par exemple triennale
Li la planification stratgique de l'entreprise
Facteurs considrer

Changements de technologies

Nouveau principes de contrle

Modification de processus oprationnels

Nouvelles contraintes rglementaires

...
r Planification court terme
Annuelle
Li la planification des ressources
L'audit Contexte d'intervention


Terminologie
L'audit
SYSTEME DE
SYSTEME DE
CONTRLE INTERNE
CONTRLE INTERNE
RISQUE
RISQUE
VULNERABILITE
VULNERABILITE
CONTRLE
CONTRLE
MENACES
MENACES
prventif
dtectif
correctif
design
efficacit
inhrent
contrle
dtection
impact
frquence


Menace et vulnrabilit
r Menace
Tout acte, situation, vnement, pouvant tre
l'origine de dgts ou de dommages sur un bien
ou une personne physique ou morale.
r Vulnrabilit
Une vulnrabilit est une faille dans une
procdure, un systme, le design,
l'implmentation d'un contrle qui peut tre
exploite pour abuser la scurit ou empcher
d'atteindre les objectifs de la socit
Inhrente lenvironnement de la socit. Une
vulnrabilit peut concern les btiments et les
locaux, les logiciels et applications, les
systmes,
L'audit Terminologie


Risque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
DE L'ACTIF DE L'ACTIF
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
I I
M M
P P
A A
C C
T T


Risque et contrle
r Risque
Evnement qui est susceptible dentraner des dommages
et/ou des pertes pour lentreprise concerne
r Contrle
Les contrles sont des politiques, des procdures, des
pratiques et des structures organisationnelles dsignes
pour mettre disposition une assurance raisonnable que les
objectifs business seront atteints et que les vnements non
souhaits pourront tre prvenus ou dtects et corrigs
L'audit Terminologie


Systme de contrle interne SCI
r Systme de contrle interne
Ensemble des contrle (mthodes et procdures) utiliss
dans une socit

pour la protection des actifs de l'entreprises

Comptabilit correcte et conforme

Management efficace de la socit

Conformit avec la stratgie oprationnelle

Prvention et la dtection d'erreurs et d'irrgularits

...
L'audit Terminologie


Risque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
IMPACT - IMPACT -
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE

Construction du risque
L'audit
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif


Risques inhrents
r Risque inhrent:
Type de produits ou de services
Situation de concurrence
Industrie
Taille et tats financiers de la socits
Dveloppement technologique
Environnement informatique
...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif


Risques de contrle
r Culture d'entreprise
r Activits / industries
r Rorganisation, fusions,
acquisition, outsourcing
r Staff, personnes et organisation
r Gestion des changements
r Manque de directives et de
documentations
r Sgrgation des tches
r ...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif


Risques de dtection
r Erreur non dtecte
r Indicateurs inefficaces
r Planning d'audit inadquat
r Rsultats d'audit interprt de
manire incorrecte
r Constats non pondrs de
manire correcte
r ...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif


L'approche audit

Comprhension de l'environnement

Identification des risques

Identification des contrles

Apprciation des risques

Communication des rsultats

Suivi des constatations

1. Comprhension de l'environnement
L'approche d'audit

Personnes et
organisation
Processus et
fonctionnement
Outils et
technologie
+
Dimensions considrer
r Identifi?
r Dfini?
r Valid?
r Document?
r Implment?
r Surveill?
r Revu?


Qualit de l'information
et quantit d'information
Processus de documentation Processus de documentation
Techniques et outils
r Interviews
Direction
Personnes cls
Employs
r Revue de documentation (papier et lectronique)
Politiques, standards et procdures
Mode d'emploi
...
r Observation
Mode opratoire
Responsabilit, limites d'activits
...
L'approche d'audit 1. Comprhension de l'environnement


Quantit et qualit de l'information collecte
r Pertinente
Aligne sur les objectifs de
l'audit
En relation logique avec
les constatations et les
conclusions
r Reliable
Valide (temps, domaine,
source indpendante, etc.)
Factuelle
Objective (interprtation)
r Suffisante
Complte
Adquate
Convaincante
r Conduirait un autre auditeur
aux mmes conclusions
L'approche d'audit 1. Comprhension de l'environnement


2. Identification des risques
L'approche d'audit
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Analyse de risques
Qualitative Qualitative
Aide la planification de l'valuation des contrles
Confirme les objectifs d'audit


Analyse de risques
Gestion du rique vs contrle du risque
L'audit 2. Identification des risques
Principe d'indpendance Principe d'indpendance
Gestion
des risques
Temps Qualit Cots
Oprationnel
Gestion de projet
Controle
des risques
Temps Qualit Cots
Audit

Cohrence des
risques identifis
Cohrence de
l'apprciation
des risques


Rfrentiels et outils
L'approche d'audit 2. Identification des risques
Cohrence de Cohrence de
l'identification et de l'identification et de
l'apprciation l'apprciation
des risques des risques
Normes assurance qualit
(ISO, PRINCE2 , ITIL,...)
Normes de scurit
(ISO 27001, ITsec,...)
Normes d'audit
(NAS, COBIT, COSO,...)
Normes, rfrentiels mtier


Rfrentiels et outils: COBIT
L'approche d'audit 2. Identification des risques


Vue globale du rfrentiel
L'approche d'audit 2. Identification des risques COBIT
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
r 4 domaines
Planning & Organisation
Acquisition & Implementation
Delivery & Support
Monitor & Evaluate
r 34 Macro-processus
PO-10 Manage Projet


Processus PO 10 Manage projects (1/3)
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT
Processus
Objectifs business
Objectifs IT
Objectifs de contrles
Mtriques et indicateurs


Processus PO 10 Manage projects (2/3)
r 0 Non-existent
Project management techniques are not used and the
organisation does not consider business impacts associated
with project mismanagement and development project
failures.
r ...
r 5 Optimised
A proven, full life cycle project and programme methodology
is implemented, enforced and integrated into the culture of
the entire organisation. An ongoing initiative to identify and
institutionalise best project management practices has been
implemented. An ...
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT


Processus PO 10 Manage projects (3/3)
Rf. Recommandations lgard des responsables de projet informatique, Contrle Fdrale des Finances)
L'approche d'audit 2. Identification des risques COBIT


3. Identification des contrles
L'approche d'audit
RISQUE

Contrle prventif
Contrle dtectif
Contrle correctif
Systme de contrle interne - SCI


Contrle prventif
r PREVENTIF
Politiques, directives, standards
Formation
Sensibilisation
Sgrgation des tches
Logiciel de contrle d'accs
...

r Dtecte les problmes avant qu'ils surviennent

r Prvient les erreurs, les omissions, les actes malicieux
r ...
L'approche d'audit 3. Identification des contrles


Contrle dtectif
r DETECTIF
Contrle de totaux, reconciliations
Messages d'erreur
Rapport
Indicateurs de tableau de bord
...
r Dtecte et reporte le problme, tels que les erreurs, les
omissions, les actes malicieux
r ...
L'approche d'audit 3. Identification des contrles


Contrle correctif
r CORRECTIF
Plan de continuit
Procdure de backup
Procdure de re-run
...
r Rduit l'impact de la menace
r Corrige les erreurs dcouvertes par les contrles dtectifs
r Modifie le droulement oprationnel afin de rduite le nombre
d'occurences futures d'un problme
r ...
L'approche d'audit 3. Identification des contrles


Caractristique du contrle
r Identifier le contrle et comprendre son fonctionnement
Design
Point de fonctionnement

dans le temps,

tape de la procdure,

...
Efficacit
r Habituellement, au minimum 2 contrles pour couvrir
adquatement un risque
L'approche d'audit 3. Identification des contrles


Apprciation des contrles
r Tests de conformit du
contrle
Dtermine si les contrles
internes sont appliqus
dans la manire dcrite
dans la documentations et
en accord avec les
intentions du
management
Teste le processus
L'approche d'audit 3. Identification des contrles
r Tests de validation du
contrle
Confirme l'intgrit du
rsultat sur la base du
fonctionnement rel du
contrle
Teste la valeur


Apprciation des contrles: Tests
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE

INPUT
OUTPUT
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE

INPUT
OUTPUT
TESTS DE CONFORMITE TESTS DE VALIDATION
L'approche d'audit 3. Identification des contrles


Niveau de contrle
Contrles Risque

L'approche d'audit 3. Identification des contrles


Communication des rsultats
L'approche d'audit
Comprendre
l'environnement
risques?
controles?
efficaces?
Tests de
conformit
Tests de
validation
Communiquer
Rapporter
non
oui
oui
non
non
oui
Plus de tests
Moins de tests


Communication
Rf. Normes d'Audit Suisse, dition 2004, Chambre fiduciaire suisse


Communication
r Communiquer
Constats et recommandations (importance et priories
r

Co_oti nBanda n nIon q ries rDDDDDDDDDDDDDDDDDD r

Suivi des constatations
r S'assurer de la mise en
oeuvre des recommandations
selon les dlais convenus
L'approche d'audit
PLAN
PLAN
DO
DO
CHECK
CHECK
ACT
ACT


Conclusion


Conclusion
r Pour le chef de projet, l'audit permet de
S'assurer de la bonne couverture de la gestion des risques
S'assurer de la bonne apprciation des risques du projet
Valider le design et l'efficacit des contrles mis en place
pour le pilotage du projet
Identifier les faiblesses ventuelles
Obtenir une nouvelle vision du projet (conseil / advisory)
Discuter / changer avec un spcialiste indpendant
...


Merci pour votre attention
Marc Barbezat
Email: marc.barbezat@b3b.ch
Site: http://www.b3b.ch/
Blog: http://blog.b3b.ch/


Rfrences utiles
r Recommandations des contrles des finances lgard des projets informatiques
http://www.isaca.ch/files/Novena_V2_f.pdf
r Normes d'Audit Suisse, Chambre fiduciaire
http://www.treuhand-kammer.ch/pix/files/neu_ps_fr1.pdf
r Formation CISA en Suisse Romande
http://www.iseig.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2
r ISACA, Information Systems Audit and Control Association
http://www.isaca.ch/ , http://www.isaca.org/
r Banque Cantonale Vaudoise
http://www.bcv.ch/
r Wikipedia, Lencyclopdie libre
http://www.wikipedia.org/