Alizé Conseil & Formation

Audit des SI

Les typologies et
questionnaires
d’audit

www.alizeconseil.fr
Tél. 01.34.93.00.72. Christophe PAILLASSA
Mob. 06.25.54.16.90.
Alizé Conseil & Formation

1
Sommaire

Introduction

1. Audit de la fonction informatique

2. Audit des projets informatiques

2
Introduction : les types d’audit

❑ La démarche d'audit peut s’appliquer à différents domaines :

1. Les départements informatiques (Direction, Etudes…),
2. L'exploitation
3. Les projets informatiques,
4. Les applications opérationnelles…
5. La sécurité informatique,
6. Autres domaines
1. Les réseaux et les télécommunications,
2. Les achats et investissements informatiques,
3. L'informatique locale ou l'informatique décentralisée,
4. La qualité de service,
5. L'externalisation,
6. La gestion de parc,

3
Introduction : les types d’audit

❑ A chaque thème va correspondre un questionnaire différent

Qui va prendre en compte les spécificités du thème audité
L’auditeur va orienter ses questions en fonction de ces spécificités
Aucun audit ne se ressemble
Chaque audit va être mené selon les objectifs formulés au départ et selon la
technique du questionnement utilisé
Un bon auditeur est un auditeur qui saura orienter ses questions en fonction
des problèmes ou améliorations recherchés

4
Sommaire

1. Introduction

2. Audit de la fonction informatique

3. Audit des projets informatiques

5
Audit de la fonction informatique

• Vous êtes nouvellement nommé responsable de la DSI

et voulez vous assurer du bon fonctionnement.

• Sur quoi va porter l’audit de la fonction ou service

informatique ? Quels sont les thèmes et points à
auditer ?
Audit de la fonction informatique

• Les objectifs d’audit d’une fonction informatique peuvent porter sur :

1. L’organisation du département (DSI) ou du service,

2. Le mode de pilotage de la DSI,
3. Les méthodes de travail utilisées
4. Le positionnement de la DSI dans l’entreprise,
5. Les relations avec les utilisateurs métiers
6. Les études menées par la DSI
7. Le recours à la sous-traitance

• Ces objectifs sont suivis via la méthodolgie CobiT :

• PO 4 "Définir les processus, l'organisation et les relations de travail".

7
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

1. Organisation, composition, responsabilités et de l'équipe

Objectif : s’assurer que l’équipe est au TOP
• Qui compose l’équipe informatique ?
• Quel profil a chaque membre de l’équipe ?
• Quel niveau d’expérience ?
• Quelle ancienneté ?
• Quels sont les rôles de chacun ?
• Quelle est la hiérarchie ?
• Les employés de la DSI sont-ils à niveau ?
• Ont-ils reçu une formation récemment ? Sur quoi ?

8
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

2. Mode de pilotage de la DSI

Objectif : s’assurer que la DSI est correctement piloté et contrôlé
• Comment est pilotée la DSI ?
• Existe-t-il des dispositifs de contrôle interne (cf COSO)
• Est-ce que les risques sont évalués périodiquement ?
• A-t-on mesuré l’impact des risques sur les performances et l’activité de la DSI ?
• A-t-on envisagé des scénarios alternatifs (Plan B) en cas d’incidents ?
• Qui pilote la DSI ? Selon quel hiérarchie ?
• Comment la DSI mesure-t-elle l'activité et les coûts informatiques ? Quels TB ?
• Existe-t-il des outils et indicateurs de mesure et de suivi de l’activité de la DSI ?
• Quel est le niveau de performance de la DSI ?
• En combien de jours répond-elle aux demandes des utilisateurs ?

9
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

3. Méthodes de travail de la DSI

Objectif : s’assurer que la DSI travaille avec les bonnes méthodes
• Comment le travail est-il organisé au sein de la DSI ?
• Comment le travail est-il réparti au sein de la DSI ?
• Quelles sont les méthodes de travail de la DSI ?
• La DSI respecte-t-elle les politiques, normes et procédures en vigueur ?
• Ses installations sont-elles conformes en normes en vigueur ?
• Quels traitements la DSI prend-elle en charge ? Quelle maintenance assure-t-elle ?
• Quelles sécurités a-t-elle mis en place ?
• Comment assure-t-elle les investissements ? Les développements ?

10
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

4. Positionnement de la DSI dans l’entreprise

Objectif : s’assurer que la DSI est reconnue et a autorité sur les autres services
• La DSI est-elle force de proposition dans l’organisation générale ?
• La DSI est-elle alignée avec la stratégie de l’entreprise ?
• La DSI est-elle alignée sur la stratégie d’entreprise ?
• La DSI participe-t-elle aux comités de directions ?
• Quelle est l’image de la DSI dans les autres services ?
• A-t-on régulièrement recours aux services de la DSI ?

11
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

5. Relations avec les utilisateurs

Objectif : s’assurer que les relations de la DSI sont bonnes
• Quelles sont les responsabilités et services de la DSI / autres départements ?
• Est ce qu'il y a un canal de communication entre les utilisateurs et la DSI ?
• La DSI établit-elle des rencontres régulières avec les autres services ? Fréquence ?
• Quel est le niveau de satisfaction des autres services / DSI ?
• La DSI a-t-elle mis en place un outil de gestion des tickets d’incidents ?
• Quel est le délai de réponse aux incidents ?
• Est ce qu'il y a des reportings concernant les demandes utilisateurs ?

12
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

6. Etudes menées par la DSI

Objectif : s’assurer que les études sont utiles et bien organisées ?
• Comment sont planifiées les différentes études ? En fonction de quels critères ?
• Comment peut-on tester ou vérifier les études réalisées ?
• Quelle est la documentation fournie avec les études ?
• Comment sont choisies les personnes responsables des études ?
• Quelle est leur formation ? Quelles sont leur responsabilités ?
• Existe-t-il un planning des tâches ? Quel est le budget attribué ?
• Quels sont les dispositifs de suivi des études ? Existe-t-il des tableaux de bord ?
• Combien de temps est passé en moyenne sur chaque étude ?

13
Audit de la fonction informatique

• Quelques points à auditer auprès du DSI :

7. Le recours à la sous-traitance par la DSI

Objectif : s’assurer que les sous-traitants sont correctement suivis
• A-t-on recours à la sous-traitance pour réaliser les études ? Pourquoi ? Quels profils ?
• Existe-t-il des contrats avec les sous-traitants ? Sous quelle forme ?
• Les sous-traitants sont-ils contrôlés ?
• Ex : s’assurer que les sous-traitants sont en règle avec leur URSSAF
• A-t-on une attestation de paiement des charges URSSAF < 6 mois du sous-traitant ?
• Les sous-traitants travaillent depuis combien de temps pour l’entreprise ?
• Ex : le sous-traitant non salarié (indépendant) qui travaille depuis un certain temps peut demander la
requalification du contrat en CDI
• Les études ou travaux à livrer (livrables) sont-ils définis ?
• Les coûts et délais sont-ils respectés ?

14
Vidéo

• Audit et contrôle appliqué aux SI

• https://www.youtube.com/watch?v=WqfTzRzFrpc

15
Sommaire

1. Introduction

2. Audit de la fonction informatique

3. Audit des projets informatiques

16
Audit des projets informatiques

• Objectif : s'assurer que les projets se déroulent normalement

• Objectifs
• Les tâches et opérations des projets s’enchainent de manière logique et efficace
• Arriver à une application performante et opérationnelle

• Certains objectifs correspondent aux processus CobiT :

• PO10 "Gérer le projet"
• AI1 "Trouver des solutions informatiques«
• AI2 "Acquérir des applications et en assurer la maintenance".

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 17

Audit des projets informatiques

• Qu’est-ce qu’un projet bien géré ?

 Un projet bien géré

• Points à auditer / projet informatique :

• Points de Conformité du projet / objectifs généraux

• Validation du périmètre fonctionnel du projet
• Processus de développement,

• Mise en place et qualité des études préalables au projet,

• Note ou étude de cadrage
• Plan de management de projet,
• plan d'assurance qualité (PAQ),
• Etude de faisabilité et/ou analyse fonctionnelle,

• Existence d'une méthodologie de conduite des projets,

• Cascade (Waterfall), V, W, spirale, itératif….
• Agile, Scrum,
• Respect des étapes et des phases du projet,
• Pilotage des phases de développement ou du paramétrage
• Rôles respectifs du chef de projet et du comité de pilotage
Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 19
 Un projet bien géré

• Points à auditer / projet informatique :

• Vérifier la gestion des risques du projet.

• Une évaluation des risques doit être faite aux étapes clés du projet.
• Conception, Paramétrage, Tests…

• Vérifier les processus de développement / paramétrage

• Clarté et efficacité,
• Existence de procédures, de méthodes et de standards
• donnant des instructions claires aux développeurs et aux utilisateurs,
• Vérification de l'application effective de la méthodologie,

• Vérifier la qualité des tests réalisées et des données reprises

• Test global et/ou unitaires
• Tests sur les processus et sur les données
• Tests faits ou supervisés par les utilisateurs.

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 20

 Exercice : bâtir un questionnaire d’audit projet (45 mn)

• Points à auditer / projet informatique :

1.Conformité du projet / objectifs généraux de l'entreprise,
• Validation du périmètre fonctionnel du projet
• faite suffisamment tôt dans le processus de développement,
2. Mise en place des études préalables
• d'un plan de management de projet, plan d'assurance qualité (PAQ),
• Qualité des études préalables de cadrage
• étude de faisabilité et analyse fonctionnelle,
3. Existence d'une méthodologie de conduite des projets, A envoyer à
• Agile, Scrum, cascade (Waterfall), V, W, spirale, itératif…., Christophe.Paillassa.gmail.com
• Respect des étapes et des phases du projet,
• Pilotage des phases de développement ou du paramétrage
• rôles respectifs du chef de projet et du comité de pilotage,
Attention
4. Vérifier la gestion des risques du projet.
à l’orthographe et la syntaxe
• Une évaluation des risques doit être faite aux étapes clés du projet.
5. Vérifier les processus de développement / paramétrage / Tests
• Clarté et efficacité, Existence de procédures, de méthodes et de standards
• donnant des instructions claires aux développeurs et aux utilisateurs,
• Vérification de l'application effective de la méthodologie,
• Qualité des tests et des données reprises et notamment aux tests faits par les utilisateurs.

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 21

Audit des projets informatiques

• Points à auditer :
• Conformité du projet / objectifs généraux de l'entreprise,
• Quelles sont les objectifs clairement définis de l’entreprise ?
• Est-ce que les objectifs de ce projet sont conformes aux finalités de l’entreprise?
• Avez-vous bien déterminé les objectifs du projet en termes de résultats attendus ou d'objectifs à atteindre, les délais,
les coûts et la qualité ?
• Quel bénéfices ces objectifs délivreront-ils si atteints ?

• Mise en place d'une note de cadrage, d'un plan de management de projet, plan d'assurance qualité (PAQ),
• Ce projet respecte t il une note de cadrage ?
• Existe-t-il un plan d’assurance qualité ? Existe-t-il un plan management de projet ?

• Existence d'une méthodologie de conduite des projets,

• Agile, Scrum, cascade (Waterfall), V, W, spirale, itératif….,
• Respect des étapes et des phases du projet,
• Pilotage des phases de développement ou du paramétrage
• rôles respectifs du chef de projet et du comité de pilotage,

• Est ce qu'il y'a une méthodologie de conduite de projet ?

• Existe-t-il des méthodes type Scrum, cascade ?
• Les phases et les étapes de ce projet sont-ils respectés ?
• Quel est le rôle du chef de projet et du comité du projet ?

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 22

Audit des projets informatiques

• Points à auditer :
• Qualité des études préalables de cadrage : étude de faisabilité et analyse fonctionnelle,
• Est-ce qu’une étude de faisabilité a été mise en place ?
• Quelles sont les études préalable de cadrage du projet et leur qualité ?
• Y’a-t-il une étude de faisabilité et une analyse fonctionnelle dans le cadrage ?

• Vérifier la gestion des risques du projet : une évaluation des risques doit être faite aux étapes clés du projet.
• Mesure-t-on les risques des projets avant leur mises en œuvre ?
• Qui est en charge des différents risques rencontrés sur le projet ?
• Les risques sont-ils évalués à chaque étape clé du projet ?
• Quels sont les mesures prises pour limiter les risques du projet ?
• Est ce qu'une évaluation des risques a été effectuée aux étapes clés du projet ?
• le projet dispose t elle d'un contrat d'assurance perte d'exploitation..?

• Validation du périmètre fonctionnel du projet faite suffisamment tôt dans le processus de développement,
• A quel département pouvons-nous étendre le projet ?
• A quel moment du projet le périmètre fonctionnel est-il validé ?
• qui est le responsable du maintien du projet près les enquêtes préalables ?
• Quels sont les documents sur lesquels on peut se baser pour notre étude ?

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 23

Audit des projets informatiques

• Points à auditer :
• Qualité des études préalables de cadrage : étude de faisabilité et analyse fonctionnelle,
• Est-ce qu’une étude de faisabilité a été mise en place ?
• Quelles sont les études préalable de cadrage du projet et leur qualité ?
• Y’a-t-il une étude de faisabilité et une analyse fonctionnelle dans le cadrage ?

• Vérifier les processus de développement / paramétrage

• Clarté et efficacité, Existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs
et aux utilisateurs, Vérification de l'application effective de la méthodologie,
• Le processus de développement/paramétrage suit-il une procédure claire et définie ?
• existe-il une méthode de développement ?

• Qualité des tests et des données reprises notamment aux tests faits par les utilisateurs.
• Quel est la qualité des test des données reprises ?
• Quels types de tests sont appliqués ?
• Les tests faits par les utilisateurs sont-ils pertinents ?
• existe-il un programme général de tests formalisé ?
• Quelle est la qualité des tests effectués ?
• existe-il des tests de pré-exploitation ?

Alizé Conseil et Formation – www.alizeconseil.fr – Tél. 01.34.93.00.72. – Mail : contact@alizeconseil.fr 24

Vidéo

• Comment préparer un audit ?

• https://www.youtube.com/watch?v=TaJiuvKIum4&index=2&list=PLbX5RX_OctQKh1CeJHrOmBtaLSsdnxlu1
Merci de votre attention

D’autres questions ?
Besoin d’un stage ?
www.alizeconseil.fr
cpaillassa@alizeconseil.fr.
06.25.54.16.90.
26