Preparation un audit SARBOX

1
MICKAEL QUESNOT

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

MES RFRENCES SAP : APTAR, VALOIS, JANSSEN CILAG, AVENTIS, LUBRIZOL, SEAQUIST, BAYER, LE CESI
TOUTE REPRSENTATION OU REPRODUCTION DE MES GUIDES , MME PARTIELLE, PAR QUELQUES PROCDS ET
QUELQUES FINS QUE CE SOIT, EST INTERDITE SANS MON AUTORISATION CRITE EXPLICITE.
L'UTILISATION DE MES DOCUMENTS EST STRICTEMENT RSERVE UN USAGE PRIV (ARTICLE L122-5 DU CODE DE LA
2
PROPRIT INTELLECTUELLE).
POUR TOUT AUTRE USAGE, MERCI DE ME CONSULTER PRALABLEMENT.
SAP , MARQUE DPOSE PAR SAP AG ET NOMS SUIVANTS :
ABAP, ABAP/4, BAPI, MANAGEMENT COCKPIT, INTERSAP, RIVA, R/2, R/3, R/3 RETAIL, SAP (LOGO), SAP
(WORD), SAPACCESS, SAPFILE, SAPFIND, SAPMAIL, SAPOFFICE, SAPSCRIPT, SAPTIME, SAPTRONIC, SAP-EDI,
SAP EARLYWATCH, SAP ARCHIVELINK, SAP BUSINESS WORKFLOW, ALE/WEB, SAPPHIRE, TEAMSAP
JE NE PEUX TRE ACCUS DE CONTREFAON OU DE REPRODUCTIONS INTERDITES POUR LES RAISONS SUIVANTES :
MES GUIDES UTILISATEURS ET DE PARAMTRAGE SONT ISSUS DE MES CONNAISSANCES PERSONNELLES ET DE SITES
WEB.
LES NOMS DES PERSONNES ET SITES SONT CLAIREMENT NONCS.
HTTP://WWW.SHARESAP.COM EST INDPENDANT DE

SAP

HTTP://WWW.SHARESAP.COM EST INDPENDANT DE

CODILOG

SHARESAP N'EST PAS AFFILI SAP AG OU L'UNE DE SES FILIALES.

SHARESAP N'EST PAS AFFILI NEURONES OU L'UNE DE SES FILIALES.
Sharesap.com. Copyright. Tous droits rservs. Par Mickael QUESNOT, Consultant SAP

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

ORDRE DU JOUR
3

Avancement
Plan daudit
Nos points forts
Nos points faibles
Divers

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Avancement
4

Nous sommes prts pour laudit

Template renseign
IT Management
Change Management
Dev & Implementation (projects)
Security
Operation & Continuity of processing (exploitation)
Procdures Aptar mises en place (Change & Security)
Test sur le Sofware Change Management ralis (15)

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Plan daudit
Seules indications de PWC :
Audit sur les tests dfinis dans le template
Dates : 2, 3, 4 ; 8,9,10 Novembre

Audit sur les configurable tests

Date : A partir du 15 Novembre

On se prpare:
Mardi matin :
Prsentation DSI, Procdures, SW change Test plan : PAN + LTI +
OCR + TPR + LPA

Mardi aprs midi et jours suivants :

Droulement de tests sur changements SAP (MES?)
Droulement de tests sur SAP security (profils)
QUI ? : PAN / LTI / OCR / tout le monde peut tre sollicit

Dbriefing tous les soirs ou 1 fois / semaine

21/11/2013

Points Forts identifis

IS en ligne avec les objectifs de lentreprise
Organisation IS
Projets, TMA, Helpdesk, GDC

Utilisation des systmes : D, T, P

SAP WW avec gestion des volutions centralise
KU / Processus
Validation pharma : DJP, LV
Procdures Aptar : SW Change Management + Security
Policies (laptop, lotus, internet)
Ralisation dun testing plan (SW)

21/11/2013

Points Faibles identifis

Absence:
Procdures
Transformation des procdures Aptar en mode opratoires
Indicateurs
Users Usage policy
Formation Sarbox

Faiblesse de formalisme
Revue des comptes & autorisation multi systmes
Transmission des mthodes & savoir-faire => drive
Matrise des volutions : documentation
Liens entre les dveloppements SAP et non SAP

21/11/2013

Divers
lauditeur est-il attentif ?

Lauditeur sattache observer les faits qui montrent que le systme fonctionne et quaucun dysfonctionnement
naltre (ou peut venir altrer) le respect des exigences Sarbox dans lensemble des processus, au niveau
lorganisation, du fonctionnement
Il posera des questions comme :
que faites-vous ? ; dans quel(s) processus de lEntreprise ou de votre Unit votre(vos) activit(s) se situe(nt) telle(s) ? , quel est votre rfrentiel de travail ? , quels sont les documents que vous utilisez (plan de
travail) ? ;

Il sattachera aussi vrifier que les personnes connaissent lorganisation dans laquelle ils travaillent, la
politique et les objectifs de la Socit et ceux de leur Unit (si cette dernire en a dfinis) et leurs objectifs
personnels.
Recommandations pour laudit
Avant la venue de lauditeur :
Identifier un accompagnateur de lauditeur (ne jamais le laisser seul).
Identifier les problmes potentiels de confidentialit. Sauf exception, les auditeurs ne sont pas habilits.
Respecter les rgles de confidentialit en vigueur : zone rserves, confidentialit de certains documents quon
ne pourra pas montrer
Vrifiez que la documentation est complte, jour, disponible.
Attention aux situations o lon a gard plusieurs couches historiques de documents ; lesquels sont
applicables ?
Veillez ce que la documentation soit range et facilement accessible:
mieux : utiliser la documentation lectronique sur votre PC, condition bien sr que la prsentation soit
matrise et que a soit bien mis en ordre, et/ou en ligne sur le rseau.

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Divers
9
Pendant laudit :
Soyez disponible et ponctuel.
Prsentez votre activit de faon synthtique (voir prparation), votre place dans lorganisation,
la place de votre processus dans le fonctionnement, la place du projet dans le business. Prsentez
le contexte du processus et du projet, sans noyer lauditeur sous de nombreux dtails techniques.
Soyez orient systme (organisation, management, processus, projet) afin dtre pdagogue
vis vis de lauditeur pour quil comprenne plus facilement votre projet et vos processus.
Mettez laccent sur le rsultat recherch et les moyens qui permettent de constater et de vrifier
que ce rsultat est de bonne qualit.
Etre pro-actif , ractif et souple, mais ne pas cherchez quand mme conduire laudit la place
de lauditeur !
Lauditeur va poser des questions. Il apprcie les rponses factuelles, il fait des constats.
Ne vous embarquez pas dans un long plaidoyer qui nentrane pas la conviction de lauditeur
(pour bien convaincre il faut tre soi-mme convaincu). Vous avez probablement, comme tout le
monde des problmes, des doutes, des opinionsgardez-les pour vous.
Lauditeur est habit par une pense binaire : oui - non, existe - nexiste pas, bon - mauvais,
conforme -non conforme. Ce nest donc pas le moment de vous interroger et de faire dans la
nuance.

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Divers
10

Grez le droit de parole de votre quipe et distribuez-le au membre de

lquipe le mieux plac afin quil ny ait pas de rponses multiples et la
limite contradictoires.
Si lauditeur interroge des collgues, ne rpondez pas leur placesauf si ce
dernier sche et que la situation devient dlicate grer. De toute faon
viter de vous contredire. Si une explication ne convainc pas lauditeur et
que vous avez la bonne rponse ou un complment dinformation important
donner, ne pas hsiter reprendre la main, bon escient, pour corriger.
Ne pas braquer lauditeur. Ce nest pas une personne qui cherche a priori
vous coincer. Si manifestement il y a un problme, ne pas le nier ou essayer
de louvoyer. Le reconnatre, expliquer la situation, pourquoi on en est arriv
l et comment il sera pris en compte (nouvelle release, version, dition).
Ne pas hsiter proposer lauditeur de lui montrer ultrieurement, avant
le fin de laudit, une preuve de solution un problme ou daction de
correction

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Divers
Pendant laudit :

11

Si on a limpression que lauditeur a des doutes sur notre matrise dun point (il na peut tre pas
bien compris une situation ou il a mal interprt notre rponse une question, ou nous avons mal
compris sa question, a peut arriver), il ne faut pas le laisser rester sur une fausse mauvaise
impression quon aura du mal ensuite lui faire rectifier. Il faut battre le fer tant quil est chaud,
ne pas hsiter rester sur le point, reformuler et sexpliquer jusqu ce quon soit bien daccord.
Par le pass, un nombre important de remarques, observations, etc. ont pu tre ainsi vites ou
attnues en terme de svrit, en sexpliquant chaud.
Les auditeurs :
Tous les auditeurs que nous avons rencontrs jusqu prsent ne cherchent pas nous piger. Ils
ont tous diffrents profils, diffrentes expriences, avec plus ou moins de souplesse dans leur
comportement et diffrentes marottes et il faudra faire avec... Ils nous sont affects pour une
priode de trois ans et nous auront le temps de nous connatre et apprcier.
Les types de comportement et questions rencontres:
Approche amicale et bavarde (tout du moins au dbut,).
Questions piges ou trop ouvertes.
Questions naves.
Dclarations et questions pour conduire la contradiction.
Prcher le faux.

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Divers
Comment ragir aux questions de lauditeur :

12

A priori ne pas rpondre pour quelquun dautre, laisser la personne interroge sexprimer. Intervenir si
ncessaire pour complter ou amender une rponse juge inadquate.
Faire rpter une question mal comprise ou revenir sur une rponse mal comprise.
Ne pas laisser le doute sinstaller chez lauditeur.
Rpondre simplement (par oui ou par non, sans trop de dlayage).
Rpondre seulement la question pose.
Ne pas donner dinformation complmentaire, le trop est lennemi du bien.
Ne montrez que les documents demands.
Ne pas tre bavard.
Ne pas poser de questions lauditeur.
Si on vous demande de montrer un exemple : montrez un seul exemple. Choisissez le meilleur !
Attention ! il ne faut pas que la recherche dun document dure trop longtemps (<5 minutes)
Ractions acceptables des questions de lauditeur
Dcliner la question ; dire que vous ne connaissez pas la rponse.
Renvoyer la question une autre personne.
Consulter le bon paragraphe dans un document de rfrence (procdure, manuel, plan) avant de rpondre.
Montrer ou lire ce paragraphe lauditeur.
Montrer un document appliquer au lieu de le dcrire.

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013

Divers
13

Recommandations diverses :
La premire des procdures cest le manuel qualit pour une activit transverse (achat, formation, etc).
Pour un projet, la premire procdure qualit cest le plan qualit du projet, surtout s'il est contractuel, ou le Plan
de Management de Projet (PMP).
La vraie rfrence dune procdure est sur le rseau.
On peut aussi consulter les copies papier un point de consultation (si un tel point existe).
On peut faire des copies de la procdure dorigine, mais on sait que cest un document de travail dont il faudra
que vrifier la validit (date et dition) par rapport sa rfrence avant chaque utilisation.
Des mots utiliser avec prudence :
Procdure, contrle, enregistrement, approuver, vrifier, correction, non-conformit, action corrective, action
prventive et audit.

Sharesap.com. Copyright. Tous droits rservs. Par

Mickael QUESNOT, Consultant SAP

21/11/2013