Escolar Documentos
Profissional Documentos
Cultura Documentos
Recherche
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
DANS
LA MME COLLECTION
Laccs et la conservation des documents relatifs aux missions daudit, Unit de Recherche IFACI
(novembre 2012)
La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)
Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octobre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011)
La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de
lIFACI (dcembre 2010)
La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010)
Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne efficient, Groupe Professionnel Banque (Avril 2010)
Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010)
Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009)
Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008)
Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dveloppement durable ?, Unit de Recherche IFACI (juin 2008)
Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche
IFACI (mai 2008)
Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novembre 2007)
Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises
dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007)
La cartographie des risques, Groupe Professionnel Assurance (juillet 2006)
Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006)
Une dmarche de management des connaissances dans une direction daudit interne, Unit de
Recherche IFACI (mai 2006)
Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005)
Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005)
tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie
et commerce (janvier 2004)
Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel
Banque (fvrier 2004)
Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA
Traduction IFACI (2001)
Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001)
Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction
IFACI (2000)
Pour plus dinformations : www.ifaci.com
IFACI Paris janvier 2013
ISBN : 978-2-915042-46-7 ISSN : 1778-7327
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
R EMERCIEMENTS
LIFACI tient tout particulirement remercier les membres de lUnit de Recherche Informatique
(URI) qui ont particip llaboration de ce Cahier :
Jos Bouaniche, Auditeur, CAISSE DES DPTS ET CONSIGNATION, Prsident de lURI ;
Eric Richard, Auditeur informatique, CRDIT LOGEMENT, membre de lURI ;
Olivier Sznitkies, Audit Director, LAFARGE GROUP AUDIT, membre de lURI ;
Yohann Vermeren, Director, KPMG ADVISORY, membre de lURI.
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
S OMMAIRE
1.
Prambule ......................................................................................................................................................... 5
1.1 Une dmarche prenant en compte les risques ........................................................................................ 8
1.2 Les rles dans la gestion de projet ........................................................................................................... 8
1.3 Faut-il avoir recours un prestataire externe ? Ce que lon doit en attendre .................................... 10
1.3.1 Lassistance lexpression du besoin ainsi qu la slection du logiciel .................................... 10
1.3.2 Le dploiement et ladaptation dun progiciel ............................................................................. 11
2.
3.
4.
5.
6.
7.
8.
9.
Annexes ........................................................................................................................................................... 52
Annexe 1 - Conseils si lon ralise soi-mme loutil .................................................................................. 53
Annexe 2 - Organisation de sessions participatives d'expression des besoins ........................................ 54
Annexe 3 - Etat des lieux des besoins .......................................................................................................... 56
Annexe 4 - Exemples de grille de slection ................................................................................................. 61
Exemple 1 .................................................................................................................................................. 61
Exemple 2 .................................................................................................................................................. 62
Exemple 3 .................................................................................................................................................. 66
Exemple 4 .................................................................................................................................................. 67
Annexe 5 - Lanalyse des donnes ............................................................................................................... 68
Annexe 6 - Outils daudit et de contrle en continu .................................................................................. 69
Annexe 7 - La fiabilit des donnes ............................................................................................................. 71
Annexe 8 - Tableau rcapitulatif des risques pouvant entraner lchec du projet / Rponses ............... 73
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 1
P RAMBULE
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
2015
68%
47%
51%
53%
52%
63%
57%
54%
62%
53%
55%
50%
21%
47%
53%
60%
63%
65%
Logiciel de flowchart
39%
36%
50%
40%
35%
25%
36%
28%
24%
57%
37%
52%
Selon cette enqute, les principales finalits des outils informatiques en France sont :
lextraction de donnes (pour 68% des rpondants en France ce qui est largement suprieur
aux 47% constats en Europe et 51% dans le monde) ;
la gestion de documents de travail lectroniques (57%) ;
les logiciels de flowchart (39%) ou de cartographie des processus (36%).
Si en 2010 lutilisation de techniques daudit assistes par ordinateur ntait pas trs rpandue en
France (21% contre 53% au niveau mondial), elle devrait fortement progresser puisque 60% des
rpondants font part de leur volont de se doter de ce type de technologie lhorizon 2015.
Lutilisation dapplication de cartographie des processus devrait galement progresser de 36%
57%.
Le recours accru aux technologies de linformation est une tendance gnrale dans chaque mtier.
Les auditeurs et les contrleurs internes ne sont pas en marge de cette dynamique, ils comptent
tirer parti des opportunits offertes par ces outils pour amliorer leur efficacit.
Imperatives for Change: The IIAs Global Internal Audit Survey in Action (The IIAs Global Internal Audit Survey: A Component of the
CBOK Study) / Richard J. Anderson, J. Christopher Svare. IIA, 2011.
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Les avantages les plus couramment attendus dune solution informatique, support dun service
daudit ou de contrle internes sont :
Amliorer la productivit en facilitant le travail des auditeurs et des contrleurs internes ;
Capitaliser le savoir ;
Homogniser les pratiques ;
Faciliter et tracer la supervision ;
Avoir une vision synthtique sur les risques et les plans dactions ;
Faciliter la planification des missions daudit et des activits de contrle ;
Faciliter la ralisation des missions d'audit et acclrer lmission des rapports ;
Amliorer le suivi des recommandations ;
Adopter les meilleures pratiques professionnelles et pouvoir rendre compte de leur mise en
uvre travers le suivi dindicateurs de pilotage.
Pour slectionner leurs outils, les services daudit ou de contrle internes devront mettre en uvre
une gestion de projet structure, pour garantir la satisfaction de leurs besoins face une offre
plthorique teinte dun jargon technique (cf. 4.2 Etudier loffre commerciale , p. 35).
La mise en place doutils informatiques dans un service ne relve ni de lvidence, ni de linstantan
et sa russite ne doit rien au hasard. Quil sagisse de tirer parti des outils bureautiques classiques
(Word, Excel) ou de mettre en place des outils de gestion de bout en bout , il est important de
garder lesprit que la technologie doit rester au service de lefficacit et du professionnalisme.
La dmarche prsente dans ce guide pratique est centre sur lacquisition et la mise en uvre dun
progiciel. Elle sera utile pour des personnes qui ne sont des professionnels ni de linformatique, ni
de la gestion de projet.
Devant la diversit des problmatiques, il nest pas envisageable de proposer une dmarche monolithique. Cest pourquoi, nous vous engageons ne retenir que ce qui vous permet de faire face
vos risques.
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
1.1
U NE DMARCHE
Dans la ralit dun projet, il est malheureusement bien souvent impossible didentifier ds labord
les lments de risque. Un projet que lon penserait simple, ne ncessitant que la mise en uvre
dun tableur par exemple, peut tre porteur de difficults insouponnes ayant pour origine des
concepts ou des notions non partages par les acteurs du projet, des prsupposs parcellaires, des
impacts organisationnels complexes, etc.
Cest pourquoi, tout au long dun projet, ft-il a priori le plus simple, il faudra organiser des points
davancement rguliers avec un suivi des risques rigoureux. Il faut souligner que les risques ne sont
pas uniquement dordre financier (cf. annexe 8 Tableau rcapitulatif des risques pouvant entraner
lchec du projet / Rponses , p. 73). En effet, dautres lments dordre organisationnel, fonctionnel, technique ou humain peuvent gnrer des risques qui seront traiter.
Risque
Echec du projet (sur les dlais, le budget et la
satisfaction des besoins).
1.2 L ES
Rponses
Suivre une dmarche partage.
Raliser un planning raliste.
Raliser des points davancement rguliers
avec des jalons prdfinis (cf. 2.2 Apprcier
les risques la mesure de bnfices attendus ,
lencart sur la notion de jalon , p. 16).
Comme dans tout projet, les rles et responsabilits doivent tre clairement dfinis avant le lancement du projet (cf. annexe 1 Conseils si lon ralise soi-mme loutil , p. 53). Un document doit
formaliser les affectations de chaque personne implique, la charge estime de travail sur le projet,
la frquence des runions de travail et davancement, ainsi que les contributions attendues.
La structure de projet type prsente, ci-aprs, est ajuster en fonction de lampleur de votre
quipe.
Le sponsor du projet a la responsabilit darbitrer les dcisions cls (il pourra sagir du
responsable de laudit interne ou du responsable du contrle interne).
Le comit de pilotage (il peut tre compos du sponsor, du RAI ou du RCI, du chef de
projet, du DSI, etc.) :
- valide la stratgie et les modalits de mise en uvre ;
- dfinit les orientations ;
- valide les priorits et les objectifs ;
- traite les points bloquants, prend les dcisions et assure la rsolution des problmes
critiques (ressources et financement).
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Le comit de projet (il se compose du chef de projet, des reprsentants des utilisateurs, des
prestataires informatique internes ou externes) :
- formalise lexpression des besoins ;
- suit lavance de lensemble des travaux ;
- alerte sur les ventuelles difficults rencontres et les dysfonctionnements constats ;
- analyse les points de dysfonctionnement et dfinit les actions correctives associes ;
- met en uvre les dcisions du comit de pilotage.
Bien videmment, pour un logiciel impliquant un projet relativement limit, cette organisation
pourra tre largement simplifie tout en gardant lesprit limportance de limplication des futurs
utilisateurs.
Sassurer que lensemble des services impacts par le dploiement de loutil informatique soit
partie prenante du comit de pilotage.
Inclure les bons acteurs. Pour ce faire, il faudra notamment :
tre attentif au profil du chef de projet, par exemple le responsable qualit et mthodes du
service daudit ou tout autre auditeur interne ayant une vision claire des besoins et une aptitude grer le projet ;
considrer, toutes les tapes du projet, le point de vue de ceux qui vont utiliser loutil au
quotidien (auditeurs internes, contrleurs internes voire responsables de processus pour le
suivi des recommandations ou les outils de contrle interne) ;
veiller la reprsentativit des utilisateurs (seniors / juniors, expertise, localisation gographique, etc.). Il faudra aussi faire attention la disponibilit des utilisateurs dans le cadre du
projet (les utilisateurs les plus pertinents sont souvent les moins disponibles).
Associer le prestataire informatique interne en amont du projet pour apprcier la capacit dintgration du SI de lorganisation et la capacit dlivrer les performances attendues, mme lors
dune acquisition dun progiciel du march.
IFACI
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
1.3 FAU T- I L
? CE
Q UE L O N DO IT EN
ATTENDRE
Choisir de se faire assister par des prestataires peut permettre de gagner du temps, de bnficier de
mthodologies de gestion de projets et dune connaissance approfondie du march. Il convient
nanmoins de slectionner avec prcaution ses conseils.
Risque
Rponses
Mconnaissance de lorganisation.
Deux tapes peuvent tre judicieusement ralises avec laide dun prestataire :
lassistance lexpression du besoin, ainsi qu la slection du logiciel ;
ladaptation et le dploiement de loutil.
Le prestataire est invit certaines runions du comit de projet introduit au I. 2, p. 8. Il change
rgulirement avec le chef de projet qui est gnralement un collaborateur dun des services utilisateurs.
IFACI
10
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Rponses
Sur-adaptation du progiciel.
IFACI
11
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 2
U NE
IFACI
DMARCHE STRUCTURE
12
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Stratgie dentreprise
Contraintes juridiques
et rglementaires
Exigences normatives
et professionnelles
Exigences oprationnelles
Exprimer le besoin
et formaliser le
business case
BESOINS
& OPTIONS
NO GO
Analyser
et grer
les risques
CHOISIR
Maquetter
Dvelopper
Tester
GRER
Mettre en place
Administrer
et maintenir
IFACI
13
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
2.1 D FINIR
Objectifs de
lorganisation
Objectifs
du service
Plus-value dun
support logiciel ?
oui
Entamer une
expression de
besoins de logiciel
non
Rflchir dautres
vecteurs damlioration
Logique besoins / objectifs
IFACI
14
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Un outil logiciel nest pas, dans notre contexte, un objectif, mais un moyen, une solution possible.
Etre attentif identifier des projets en synergie, afin de mutualiser les cots. Par exemple, le
dploiement dun outil support laudit interne peut faire partie dun projet plus global comprenant la gestion des risques et le support au contrle interne.
Risque
Rponses
Cot sous-valu.
IFACI
15
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A ce stade, on peut noncer trois remarques importantes, permettant dappliquer tout projet
informatique le scepticisme professionnel normalement dploy par tout auditeur dans ses travaux.
La rgle des pourquoi (au minimum trois) est appliquer. Cette rgle sert sassurer que
les besoins exprims sont suffisamment clairs, ne sont pas redondants, et reposent sur de
vritables objectifs. (cf. 3.1 Partir des besoins pour orienter les choix , p. 19).
Les objectifs multiples sont viter, et les buts contradictoires sont surveiller.
L'exprience prouve que les personnes investies dans un projet ne sont vritablement performantes que sur un seul objectif. Or, on assigne gnralement aux projets plusieurs objectifs, sans
les hirarchiser, qu'ils concernent la couverture fonctionnelle, la fiabilit, la scurit, le temps de
rponse, les charges et les dlais, etc.
La plupart du temps, le projet est guid par les dlais ou par les budgets, les autres objectifs faisant
office de variables d'ajustement. Dans ce cas, la primaut des dlais ou des budgets conduit ne
pas suffisamment intgrer les besoins des utilisateurs et minimiser, voire ne pas raliser des
tapes clefs telles que le maquettage, les ateliers d'changes, ou les tests.
Un logiciel nest pas toujours la solution. En dautres termes, il ne faut pas que ltude se
limite la rationalisation dun choix initial plus ou moins avou, mais bien lobjectivation
des diffrentes options.
Toute utilisation de logiciel prsente des risques. Un logiciel peut poser plus de problmes quil
nen rsout, par exemple en ralisant des alertes inutiles ncessitant des contrles supplmentaires
de la part des utilisateurs. De mme, il faudra sinterroger pour savoir si les bnfices attendus des
logiciels daudit ou de contrle (par exemple, la rapidit dmission des rapports, le suivi des
recommandations directement par les oprationnels, une meilleure supervision des missions, la
consolidation automatiques des dficiences et des plans dactions, etc.) vaudront linvestissement
ralis (en termes financier, de temps, de pertinence des analyses ou encore de production dindicateurs).
De plus, outre le risque de stre tromp de cible ou doutil, il faut savoir que des difficults surgiront sur le projet, relatifs au paramtrage, la personnalisation, la formation des utilisateurs, la
maintenance et au changement de version. Dans ce cadre, les logiciels complexes sont souvent
difficilement rentabiliss.
IFACI
16
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Les risques dun tel projet sont identiques ceux de nimporte quel projet de dploiement dapplication informatique (voir le vecteur 6 Matrise de la ralisation des projets en fonction des enjeux
mtiers de Gouvernance du systme dinformation : guide daudit / AFAI, IFACI, CIGREF).
Face aux risques identifis, on formalisera systmatiquement et rgulirement les actions mises en
place pour y remdier. Il sagit dobjectiver et de mmoriser le pourquoi ? dactions rpondant
aux risques un instant donn du projet. En effet, le pourquoi ? est souvent oubli en cours de
route. Ds lors, soit les actions perdent de leur sens, soit elles ne peuvent tre remises en cause
utilement.
La notion de jalon
Un lment essentiel de la conduite de projet est de savoir dterminer son tat davancement.
Comme les Romains lavaient compris, il ny a quun bon moyen de savoir o on en est, cest de
placer des jalons le long de sa route.
Un jalon doit nous permettre de dterminer un tat davancement sans ambigut.
On nutilisera donc pas un pourcentage des dlais initiaux ou de la consommation budgtaire, qui
ne nous disent rien sur ltat actuel de lavancement. Pour reprendre une analogie routire, pour
savoir o lon en est, le compteur kilomtrique ou la jauge dessence ne sont que des pis-aller.
Un jalon est donc une tape sur laquelle, normalement, on na pas revenir. Ce sera par exemple
lexpression des besoins finalise et valide. En effet, tant quelle nest pas valide, on pourra
toujours la remettre en question. On peut imaginer plusieurs niveaux de validation, comme par
exemple une validation des utilisateurs, une validation du donneur dordre, une validation par le
contrle qualit et, pourquoi pas, une validation par le prestataire charg de la ralisation du projet.
Chacune de ces tapes peut tre considre comme un jalon.
Il faut ainsi dcouper le projet en tapes claires, aux critres de fin sans ambigut.
Les grands jalons habituels de la gestion de projet sont :
linitialisation du projet, lorsque le budget pour ltape dexpression du besoin est accord ;
le cas chant, le choix dun conseil pour laccompagnement en amont (dfinition des
besoins, identification des solutions de march, mise en uvre dun appel doffre) ;
lexpression des besoins, valide par la matrise douvrage (les utilisateurs et le donneur
dordre) ;
le choix du logiciel (ou la dcision de faire) et, le cas chant, le choix de lintgrateur pour
le dploiement de la solution (paramtrage, tests, conduite du changement) ;
les tests dacceptation donnant le feu vert la mise en uvre ;
la mise en exploitation effective.
A lintrieur de chacune de ces tapes, on pourra identifier des jalons intermdiaires. On peut aussi
lotir le projet, suivant un axe (fonctionnel, gographique, produits traits, etc.) ou une combinaison
daxes.
IFACI
17
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 3
E XPRIMER
LES BESOINS
Lexpression des besoins doit tenir compte de lenvironnement, cest--dire des contraintes juridiques et rglementaires, de la stratgie de lorganisation, de ses valeurs, des exigences professionnelles et des exigences lies aux diffrents mtiers et activits.
IFACI
18
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Les besoins spcifiques de lorganisation1 doivent guider la slection des outils informatiques. Sil
est tentant pour les responsables de service de croire que lachat dun logiciel rsoudra leurs
problmes, il faut savoir que, frquemment, les auditeurs et contrleurs internes ne parviennent
pas utiliser correctement leurs logiciels. La raison en est simple : loutil choisi ne convient ni aux
objectifs, ni au primtre, ni lorganisation du service daudit ou de contrle internes.
Ainsi, il faudra veiller ne pas se laisser envoter par le discours des vendeurs, qui considrent que
leur logiciel rsoudra tous nos problmes, et nous font croire que le logiciel fera correctement et
aisment les choses.
Un logiciel nest pas meilleur quun autre : cest chaque gestionnaire de risques de
prendre le logiciel qui a la couverture fonctionnelle qui lui convient.
Depuis les dbuts de linformatique, on constate que tout projet comporte un risque important de
ne pas rpondre aux besoins.
En 2009, le Standish group2 constatait que :
seuls 32% des projets taient livrs dans le budget, les dlais et avec les fonctions demandes ;
44% des projets taient livrs et oprationnels, mais hors budget et dlais, et avec moins de
fonctionnalits que prvu ;
24% des projets avaient d tre arrts.
Cest pourquoi, tout projet informatique doit tre tudi avec la plus grande attention.
La premire tche, la plus difficile, consiste donc dfinir ses besoins. A cette tape, deux
cueils seront viter.
Les auditeurs et contrleurs internes nont pas connaissance de ce quils peuvent attendre
des outils informatiques. Ils ont ainsi tendance ne sintresser qu lautomatisation des
tches quils ralisent manuellement, limitant ainsi ltendue des possibilits qui leurs sont
offertes.
Lautre cueil consiste croire que, comme on ne connat pas vraiment ses besoins, on peut
sans risque prendre quelque chose de tout fait (un progiciel) qui nous permettra de dcouvrir des besoins auxquels on navait pas pens. Le risque est ici de se cantonner loffre sans
rflexion critique sur ses propres besoins.
1
La dmarche prsente est largement inspire de larticle, Choosing the right tool / Tim McCollum, David Salierno. - in Internal Auditor,
August 2003.
Le Standish group est une socit amricaine dont lactivit principale est de raliser des recherches sur les risques lis aux investissements
informatiques et aux moyens damliorer le retour sur investissement de tels projets. Sa particularit est de se concentrer sur les checs des
projets SI.
IFACI
19
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Risque
Rponses
Nous tions la recherche d'une solution fiable et flexible qui rponde nos besoins actuels mais
qui soit galement capable d'accompagner les dveloppements que nous projetons court et moyen
termes. La puissance fonctionnelle de l'outil, ses capacits de reporting ainsi que ses qualits ergonomiques ont t les critres dterminants dans notre choix car l'acceptation de la solution par l'utilisateur est pour nous essentielle.
Directeur du Contrle Interne de lindustrie commerce - service
Concernant les exigences fonctionnelles, il faudra les passer au tamis dune analyse de la valeur. Si
on na ni les moyens, le temps ou la comptence pour dployer une telle technique, il faudra systmatiquement appliquer sur chaque fonction demande la rgle des 3 pourquoi (cf. encadr cidessous). Il restera ensuite savoir si la demande peut tre simplifie (le plus souvent en faisant
voluer le processus cible). Enfin, il est recommand de distinguer, dans lexpression des besoins,
les fonctionnalits essentielles de celles qui ne le sont pas.
Le souhait de mettre en place une solution informatise doit provenir du besoin de rsoudre un
problme, une difficult, damliorer un processus existant.
Exemple simplifi dapplication de la rgle des 3 pourquoi
Pourquoi vouloir mettre en place une solution logicielle intgre ?
Il faut un progiciel intgr, parce que cela permet dtre plus performant.
Pourquoi un logiciel intgr permet-il dtre plus performant ?
Parce quil permet de faciliter la supervision des activits au sein du service.
IFACI
20
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
La rception est la deuxime tape utilisateur la plus importante aprs lexpression des
besoins. Il est important de concevoir ds lamont du projet les tests de rception et leur droul.
A cet gard, pour chaque exigence de la phase Expression des besoins , il faudra fournir la
rponse la question comment tester cette exigence ? . Ne pas pouvoir y rpondre entranera
une remise en cause de la formulation de lexigence correspondante.
Besoins
Revoir la formulation
Formulation
des besoins
Le besoin
est-il testable ?
NON
OUI
Formulation
des tests
21
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Risque
Rponses
Il existe la disposition de laudit tout un ensemble d'outils informatiques sur chaque phase ou
fonction :
Pilotage du service
Etape prliminaire
Conduite de mission
Outils de restitution.
Outil de production des rapports (avec la ncessit de bien vrifier
le niveau dintgration avec la suite bureautique de Microsoft qui
savre, dexprience, tre un point faible de nombreux progiciels
daudit).
La gestion du suivi des plans daction.
Outils de gestion documentaire.
Outils de planification.
Outils de gestion de papier de travail.
Travail terrain
Communication
IFACI
22
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
IFACI
23
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
IFACI
24
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
3.3 F ORMALISER LA
Ltat des lieux des besoins tant lune des tapes cls du projet, il convient de la formaliser et de
la justifier (cf. annexe 3 Etat des lieux des besoins , p. 56).
Un document de cadrage permettra lidentification la plus prcise possible des besoins fonctionnels
et techniques, y compris de lvaluation des contraintes et des priorits prendre en compte.
Un schma de fonctionnement des processus affects par le projet permettra de visualiser facilement les tapes cls, les acteurs et les points de contrle.
Dans une expression des besoins, il convient de distinguer plusieurs types dexigences :
Fonctionnelles. On va exprimer ici quelles fonctions on souhaite voir remplir par un logiciel.
Techniques. Ce point est particulirement sensible si on veut (ou doit) intgrer le logiciel
au systme d'information de lorganisation. Par exemple, le logiciel doit imprativement
tourner sur un systme dexploitation prcis, disposer de tel type de base de donnes, ou
encore tre compatible avec loutil de gestion des profils de scurit de lorganisation.
Organisationnelles. A minima, il faudra ici dcrire lorganisation cible. On peut par exemple tre rattach une partie dun service daudit dont les services sont rpartis sur lEurope.
Ces services doivent non seulement communiquer entre eux mais, par exemple, partager
des papiers de travail en temps rel sur une mission donne. On voit donc que les pratiques
et les choix dorganisation doivent tre explicits, car ils auront une incidence sur lapprciation que lon pourra porter sur la capacit dun logiciel rpondre aux besoins exprims.
Quantitatives. Trs souvent en complment aux contraintes techniques, on explicitera les
lments qui ont un impact sur la performance et la capacit de charge du logiciel, comme
le nombre de personnes devant se connecter, les temps de rponse esprs, etc.
Qualitatives. On parle aussi dexigences non fonctionnelles, sur le modle de lISO
9126-1:2001 Gnie du logiciel Qualit des produits. Par exemple, on pourra prciser ses
exigences en termes de lisibilit de la documentation utilisateur, dergonomie du logiciel, de
facilit dapprentissage ou encore de facilit de maintenance.
De scurit. Les organisations disposent le plus souvent d'une dmarche permettant de
dfinir les exigences de scurit des logiciels. L'tat de l'art veut qu'au moins trois facteurs
de scurit soient dfinis : l'intgrit des donnes et des traitements, la confidentialit de
IFACI
25
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
l'information et la disponibilit des donnes et des traitements. De plus, pour les logiciels
de support aux services daudit et de contrle internes une attention particulire est porte
la qualit de la piste daudit.
Juridiques et rglementaires. Ces exigences sont gnralement centres sur les prescriptions de la CNIL, ds qu'il s'agit de gestion informatise. Il faudra bien sr prendre aussi en
compte les rglementations spcifiques au secteur d'activit de lorganisation.
Le choix du logiciel est un travail dquipe au sein du service daudit ou de contrle interne. Il doit
en effet impliquer au plus tt les futurs utilisateurs pour faciliter la slection des besoins les plus
pertinents et la conduite du changement. Lorganisation de sessions participatives dexpression des
besoins est un facteur cl de succs (cf. annexe 2 Organisation de sessions participatives dexpression des besoins , p. 54). Elles peuvent sappuyer sur des dmarches telles que le JRP (joint requirements planning) dvelopp en annexe 2. La mthode retenue dpendra de la taille et de la
complexit du projet.
XXX permettra une gestion des alertes automatiques sur l'avancement du portefeuille de
missions et optimisera la scurit au niveau des oprations menes par nos auditeurs
internes. De plus, les capacits de l'outil couvrir les principaux besoins dfinis par l'audit
interne, la souplesse de paramtrage ainsi que la politique produit innovante de XXX sont
autant de raisons qui nous ont confortes dans ce choix stratgique.
Directeur de laudit interne
XXX est l'outil stratgique centralisateur qui permettra de fiabiliser la couverture des
risques et d'en assurer la cohrence. Nous avons slectionn cette solution car notre stratgie consiste non seulement automatiser les procdures de contrle interne mais galement
mettre la disposition des correspondants risques et contrle interne une solution facile
d'utilisation, ergonomique et fiable. XXX offre une grande libert d'utilisation et une
matrise des risques depuis les objectifs stratgiques de l'entreprise jusqu' la mise sous
contrle priodique ou permanent de ses activits oprationnelles.
Responsable du Contrle Interne
IFACI
26
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 4
L A DMARCHE
IFACI
DE SLECTION
27
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Ltat des lieux des besoins a permis ltablissement de documents de rfrence (document de
cadrage, cartographie des processus, description des besoins fonctionnels et techniques, etc.)
utiliser pendant la phase de slection qui est aborde en trois squences :
lanalyse des options au regard des besoins identifis ;
lanalyse des solutions du march lorsque loption retenue consiste acqurir un logiciel.
Cette squence se conclut gnralement par ltablissement dun cahier des charges dfinissant les critres de consultation et de slection. Ces critres vont au-del de laspect
fonctionnel et permettent notamment de :
- prciser le primtre de la consultation. Inclut-il par exemple les plateformes techniques (serveurs, base de donnes et applications) ?
- dfinir les modalits de consultation au regard des contraintes de planning du service
et des procdures dachat ;
le choix de lditeur mme de dployer la solution souhaite. Les rponses des diffrents
diteurs sont values au regard des critres pralablement dfinis. Un nombre restreint
dditeurs sont invits prciser leur offre lors dentretiens oraux aboutissant au choix de
lditeur retenu.
Les sources dinformation pour identifier les acteurs pertinents sont diverses. Par exemple :
les socits comme CXP, Forrester Research, IDC, Gartner recensent les diteurs ;
Internet (site des diteurs, articles et autres sources) ;
les analyses des associations professionnelles (cf. bibliographie) ;
les retours dexpriences.
Dans le cadre de cette slection, il est important de ne pas se restreindre aux seuls leaders du
march, habituellement les plus cits. Les acteurs de niche, par exemple, peuvent proposer des
solutions pertinentes parfaitement adaptes certains contextes et parfois un cot comptitif.
Dautres acteurs peuvent proposer des solutions innovantes (outil innovant de contrle continu,
systmes experts danalyse des risques) (cf. annexe 6 Outils daudit et de contrle en continu ,
p. 69).
Il convient aussi dans le cadre de lvaluation des diteurs dvaluer la capacit de lditeur dlivrer, mais aussi maintenir la solution propose dans le cas dun dploiement dune solution qui
aurait une complexit ou une taille particulirement importante.
Enfin, il est fondamental davoir des dmonstrations de chaque solution slectionne dans la liste
restreinte sur la base dun scnario le plus proche possible de nos propres besoins et processus
cibles, et dobserver que les fonctionnalits sont effectivement existantes et adaptables notre
environnement.
IFACI
28
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
4.1 E TUDIER
4.1.1
LES OPTIONS
Face un besoin dinformatisation, les utilisateurs ont une plthore doptions possibles, illustres
dans le schma ci-dessous. Pour ne pas compliquer le schma, nous navons pas fait figurer les relations transverses entre les options : par exemple, un service daudit peut se retrouver utiliser un
logiciel de lorganisation sous la forme dun outil intgr (GRC), dj utilis par le contrle des
risques.
Etudier les options
Utiliser les
logiciels de
lorganisation
Logiciels
bureautiques
Outils
collaboratifs
Dveloppement
spcifique
Progiciels
spcialiss
Intgrs
(GRC)
Ddis
Nombre de services daudit ou de contrle utilisent des bases de donnes bureautiques ou des
tableurs. Il faut bien savoir que ceux-ci ont des limites et que vouloir leur faire faire plus que ce dont
ils sont capables en standard pourra coter cher en termes de maintenance ou de fiabilit des
outils. Cette approche pourrait galement avoir des consquences sur la qualit de la preuve daudit. Si leurs limites sont correctement prises en compte, les tableurs peuvent tre utiliss, par exemple, pour les analyses de rgression, de ratio, de tendances ou de mesures de la performance.
Si les auditeurs ou contrleurs ont besoin doutils plus puissants ou sophistiqus, ils devront
dabord sintresser aux outils en place dans lorganisation pour la gestion des bases de donnes
(outil de requtes) et/ou la gestion des processus (par exemple, les ERP) et ventuellement, songer
lajout de modules complmentaires.
IFACI
29
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Mais les auditeurs ou contrleurs pourront prfrer des outils spcifiques quils auront dvelopps
ou fait dvelopper, par exemple dans le domaine de lanalyse des risques, la dtection des fraudes
ou lautomatisation des papiers de travail.
Dans notre groupe industriel de taille moyenne (25 000 personnes dans 40 pays) nous avons dvelopp en interne un outil de suivi des missions et de suivi de la mise en uvre des recommandations.
Cet outil permet :
de scuriser les donnes (sauvegarde quotidienne, gestion des droits daccs) ;
dobtenir instantanment toutes les statistiques ncessaires au suivi oprationnel de notre activit
ainsi que pour la prparation des diffrents rapports dactivit (direction gnrale, COMEX, comit
daudit) ;
denvoyer rgulirement aux parties prenantes (directions de zone, directions fonctionnelles, etc.)
des tats de suivi des recommandations dans leur zone de responsabilit respective.
Lavantage du dveloppement en interne est, dune part, une conomie de cots, dautre part, une possibilit
de faire voluer loutil en fonction de nos besoins de faon rapide. Cela ncessite par contre une bonne et
troite collaboration avec la direction informatique pour obtenir les ressources ncessaires.
Get the most out of audit tools / Russel A. Jackson. - in Internal Auditor August 2004.
IFACI
30
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
4.1.2.1
Outils populaires par excellence et dj utiliss par lensemble des services, les outils de type
bureautique, permettent de supporter des activits essentielles comme la gestion des programmes
de travail, la gestion du planning, la gestion des recommandations, la gestion des connaissances,
etc.
Dans ce cadre, des fichiers modles sont mis disposition des utilisateurs sur des serveurs de
fichiers partags, afin dhomogniser et standardiser la constitution des diffrents documents de
travail. Lensemble des papiers de travail labors pour une mission donne est stock dans une
arborescence de rpertoires cre pour les diffrentes missions daudit.
La gestion des recommandations ncessite la constitution dune base de donnes pour permettre
de documenter le suivi dans le temps de la mise en uvre. Ces bases peuvent tre constitues
galement sur des outils des suites Microsoft Office ou OpenOffice par exemple.
La gestion du planning peut galement tre supporte par un fichier de type tableur, stock sur le
serveur partag.
Si tout se droule correctement, on pourra profiter dun ou de plusieurs des avantages suivants :
cot de dveloppement et de formation trs faible (facilit dutilisation) ;
cot dexploitation trs faible (pas de cot supplmentaire de licences en gnral), limit au
cot de stockage sur des serveurs ;
stockage centralis des documents rcolts et produits pendant les missions ;
rapidit de dploiement.
IFACI
31
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
En conclusion, cette solution est typique dun service daudit ou de contrle internes de taille
rduite et dans un lieu unique. Elle devient rapidement un obstacle la standardisation, la productivit et la qualit pour des services de taille significative et multi-sites.
4.1.2.2
Depuis une quinzaine dannes, des solutions intgres sont proposes par des diteurs spcialiss,
permettant de supporter quasiment lensemble des processus de laudit interne et du contrle
internes. Loffre est aujourdhui plthorique avec toutefois des disparits fonctionnelles, ergonomiques et technologiques fortes. Le choix et la mise en place dune telle solution ncessite que le
service daudit ou de contrle internes lance un vritable projet.
Si tout se droule correctement, on pourra profiter dun ou de plusieurs des avantages suivants :
standardisation et gestion de la qualit des missions ;
possibilit de gestion de connaissances (base documentaire) ;
constitution automatique des indicateurs oprationnels (suivi des missions), et de performance ;
automatisation des flux de gestion documentaires incluant la rvision et lapprobation ;
fiabilisation des processus daudit et de contrle ;
gestion fine de la scurit daccs ;
fiabilisation de la sauvegarde et du stockage de donnes.
IFACI
32
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Les outils intgrs peuvent servir une multiplicit dacteurs, tels que laudit interne et laudit
externe pour le suivi de leurs recommandations ; laudit, le contrle interne et/ou le gestionnaire
des risques pour le partage dun rfrentiel commun, cartographies, suivi des plans dactions, etc.
Cette opportunit doit tre prise en considration ds la phase de dfinition des besoins et pour le
choix de la solution qui pourra tre volutive pour ventuellement, terme, stendre dautres
acteurs.
Cette volutivit pourra galement se traduire au niveau des modules slectionns. Le service
pouvant choisir tout ou partie des modules gnralement proposs : gestion du planning, documentation des papiers de travail, suivi des recommandations et plans dactions, etc.
4.1.2.3
Une alternative ces outils intgrs, dont les cots peuvent savrer prohibitifs pour certains
services daudit interne, est aujourdhui propose par les outils de type collaboratif, dont les fonctionnalits sont de plus en plus riches.
Ainsi, les plateformes Lotus Notes, TeamPlace ou Microsoft Sharepoint prennent en compte le
besoin de structurer les informations stockes classiquement sur des serveurs de fichiers. Elles
permettent aujourdhui dimplmenter des fonctionnalits de gestion documentaire, de planning,
etc., tout en supportant les mcanismes de workflow pour la rvision et lapprobation de documents.
Si tout se droule correctement, on pourra profiter dun ou de plusieurs des avantages suivants :
cot modr de personnalisation ou de paramtrage des plateformes, voire faible si les
fonctionnalits restent basiques ou existent dj dans lorganisation ;
cot dexploitation et de formation faible ;
cot supplmentaire de licences et de maintenance faible, voire nul ;
accs multi-sites ;
gestion de la scurit daccs fine ;
intgration facilite aux intranets dentreprise.
IFACI
33
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Ces outils ne remplacent pas les outils intgrs, mais permettent tout de mme de rpondre aux
besoins de stockage des documents, dautomatisation et de traabilit des validations et tout
simplement de partage de savoir. Ce type doutil est rpandu actuellement au sein des services
daudit interne dans le cadre de la gestion de la mission daudit (mme de groupes de taille importante).
4.1.2.4
En conclusion, le choix doutils ddis est une option permettant de rpondre un besoin prcis
avec un investissement modr dans le court terme. Toutefois, la dmultiplication doutils ddis
au sein du service entranera des difficults dintgration (pas de partage des donnes rfrentielles, lesquelles devront tre maintenues dans diffrents outils).
Les avantages et inconvnients sont ainsi analyser en fonction du contexte, de la complexit de
lorganisation et/ou des missions.
Etant entendu que la DRH ne mette pas dj disposition un outil de gestion des comptences.
IFACI
34
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
35
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Notons nanmoins que limplantation dun outil de GRC peut tre source de lourdeur et de
complexit sil sagit de dployer un simple outil de management des services daudit et de contrle
internes qui ne viendrait pas en appui dun vritable dispositif de gestion intgre des risques. En
effet, la complexit intrinsque la mise en uvre de ce type doutil est amplifie par les trois
objectifs viss et laugmentation du nombre dacteurs impliqus.
Il convient de noter que le march franais prsente plusieurs diteurs majeurs de solutions GRC
que sont Enablon, eFront et RVR (Devoteam).
Gartner Research est une socit de recherche et de conseil amricaine spcialise dans les nouvelles technologies. Elle propose notamment
des quadrants permettant de comparer le positionnement des diteurs de logiciels.
IFACI
36
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
On peut citer les diteurs suivants1 qui proposent des solutions pouvant couvrir des besoins des
services daudit et du contrle internes :
Bwise GRC
Devoteam
eFront
Front GRC
EMC
Enablon
Enablon GRC
IBM
OpenPages GRC
MethodWare (Jadesoftware)
Magique Galileo
Mega
MetricStream
Mkinsight
Oracle
Oxial
Pentana
Protiviti
GRC software
ROK
ROK solution
RunBook
Internal Control
SAP
GRC
Software AG
Sword Achiever
Sword Achiever 5
Symbiant
Thomson Reuters
Wolters Kluwer
Voir galement le dossier Etat des lieux des outils informatiques disposition des auditeurs - revue Audit & Contrle internes, n212,
dcembre 2012.
IFACI
37
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Dautre part, les diteurs suivants proposent des solutions permettant danalyser les donnes (cf.
annexe 5 Lanalyse des donnes , p. 68) et des outils daudit et de contrle en continu (cf. annexe
6 Outils daudit et de contrle en continu , p. 69) :
ACL ;
Caseware (Idea) ;
Actimize ;
Datawatch ;
Greenlight technologies.
Dans les solutions informatiques la disposition des services daudit ou de contrle, on peut trouver des offres de SaaS. Cet acronyme barbare signifie Software as a Service, cest--dire que, moyennant rtribution, un oprateur met votre disposition des logiciels mais aussi leur maintenance,
leur exploitation, les ressources informatiques ncessaires et ce pour un niveau de service dfini
contractuellement.
Loffre SaaS est en fait une des options commerciales1 de ce que lon appelle le Cloud Computing,
cest--dire linformatique dans les nuages .
Pour lutilisateur, linformatique dans les nuages peut tre caractrise2 par 4 lments :
la transparence des infrastructures et du matriel ;
laccs immdiat aux ressources ncessaires ;
la cohabitation, au sein dune mme structure dmatrialise, de nombreux usagers ayant
la garantie de la scurit de leurs donnes ;
le paiement en fonction de la consommation relle.
Linformatique dans les nuages repose techniquement sur la virtualisation des serveurs et lutilisation de rseaux de tlcommunication performants. Les ordinateurs supportant ces serveurs virtualiss sont hbergs dans des centres de calculs dont la rpartition gographique est fonction des
Outre le SaaS, les deux autres principales options commerciales sont : IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Ces
dernires options ne sont bien videmment pas lusage direct de lutilisateur final.
Linformatique dans les nuages (ou le cloud computing). in Cfdt magazine, n 366 de septembre-octobre 2010.
IFACI
38
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
intrts du fournisseur. En clair, lutilisateur ne sait pas o se trouvent physiquement ses donnes
ni quelles lgislations elles sont soumises. De plus, les donnes traites par les oprateurs amricains dinformatique dans les nuages sont soumises au Patriot Act1, et donc transmissibles aux
autorits amricaines. Ainsi, les avantages immdiats pour lutilisateur peuvent cacher des problmatiques srieuses de confidentialit des donnes, par exemple. On consultera avec profit le site de
la CNIL sur ce sujet.
Au-del de la gestion des accs, lvaluation du logiciel devrait prendre en compte la confidentialit
des donnes et notamment leurs modalits de stockage. En particulier, la notion de cloud computing,
potentiellement incluse dans une offre commerciale plus globale, doit pouvoir tre identifie
compte tenu de son antinomie avec les besoins de confidentialit des donnes daudit.
Il est indispensable dvaluer les progiciels selon diffrents critres et en fonction des besoins dfinis. Ces critres sont par exemple la simplicit dutilisation, la lisibilit des restitutions, la qualit de
la documentation, le support technique, la rputation du fournisseur, la gestion des versions, les
cots et, naturellement, la couverture fonctionnelle des besoins. Cette liste est loin dtre exhaustive (cf. annexe 4 Exemples de grille de slection , p. 61).
Dans le cas dun choix de progiciel, on peut regrouper les critres en trois catgories principales :
les critres lis lditeur mme ;
les critres lis aux spcificits du produit ;
les critres lis aux fonctionnalits en regard des besoins dfinis.
On formalisera ces critres de manire dtaille au sein dune matrice de slection (cf. annexe 4
Exemples de grille de slection , p. 61) qui prendra en compte la pondration de chacun dentre
eux, en fonction de limportance que lon souhaite leur donner.
A titre illustratif, les critres suivants seront trs gnralement pris en compte (liste non exhaustive
devant tre adapte chaque contexte).
1. Evaluation de lditeur (valuation de viabilit, de la vision, de lexprience)
a. Nombre de clients
b. Nombre de clients pour le produit en particulier
c. Nombre de clients pour le produit en France (si pertinent)
d. Nombre de rfrences dans mon secteur dactivit
e. Le systme peut-il tre dploy et maintenu en France ?
Les autorits US ont la main sur les donnes Cloud. in le Journal du Net (www.journaldunet.com), le 5 juillet 2011
IFACI
39
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
f.
IFACI
40
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Outre les dossiers soumis par les diteurs, des entretiens pourront tre conduits sur la base des
scnarios dfinis durant la phase prcdente. Ces ateliers doivent permettre de mieux apprhender
les fonctionnalits et lenvironnement des solutions proposes, ainsi que les points dattention ou
les interrogations remontes lors de lanalyse des offres.
Un comit de slection pourra se runir pour statuer sur loutil retenir au vu de lanalyse comparative effectue et des conclusions des entretiens.
IFACI
41
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 5
M AQUETTER / DVELOPPER /
PARAMTRER
Compte tenu des besoins spcifiques chaque organisation, tout progiciel ncessite une personnalisation qui peut aller du plus simple (quelques informations tapes sur lcran) au plus compliqu (par exemple, dveloppement de fonctionnalits spcifiques). Cette phase peut bien souvent
engendrer des surprises qui se concrtiseront par des dlais et des cots supplmentaires et non
prvus. Ces difficults sont amplifies dans le cas des progiciels daudit et de contrle du fait de la
dpendance vis--vis de lditeur, qui est en gnral le seul pouvoir dvelopper son outil.
Ces difficults sont gnralement prvenues par :
des besoins centrs sur lessentiel ;
la slection du progiciel le plus adapt, limitant ainsi au minimum les efforts de personnalisation ;
une validation au fil de leau de la personnalisation ;
une prise en compte au plus tt des risques, si une personnalisation consquente savre
ncessaire.
IFACI
42
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 6
S TRATGIES
IFACI
43
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
DE TESTS ET DE DPLOIEMENT
Nous avons dj voqu les tests et dploiement lors de ltude des besoins (cf. 3 Exprimer les
besoins p. 18). En effet, les tests se conoivent ds lexpression des besoins car ils permettent, ds
cette phase, de vrifier la qualit de celle-ci. On pourrait dire que la conception des tests est une
tape de lexpression des besoins.
La stratgie de test se pose avec dautant plus de force que lanalyse des risques a permis danticiper
une sensibilit importante du service daudit ou du contrle interne, voire de lorganisation, la
bonne mise en uvre du projet.
La phase test
La stratgie de test se dcline en plusieurs thmatiques fonctionnelles cohrentes, elles-mmes
divises en plusieurs tests. Ces diffrentes thmatiques peuvent tre testes indpendamment les
unes des autres.
Le tableau ci-dessous prsente quelques exemples de tests pouvant tre effectus pour un projet :
Thmatique
Action
Rsultats attendus
Validation
Commentaires
L'tablissement 1 est
correctement cr et
rattach la filiale A
dans larborescence
des entits
organisationnelles.
OK
KO
OK
Scurit
Dconnexion
automatique de la
session utilisateur.
Lutilisateur est
automatiquement
dconnect de sa
session au bout de 3h
dinactivit.
KO
Lutilisateur est
dconnect aprs 30
minutes dinactivit,
patch serveur mettre
jour.
Reporting
Exportation des
Les rapports sous
rapports par processus Excel seffectuent
sous Excel.
conformment aux
spcifications.
OK
IFACI
44
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Ainsi, la stratgie de dploiement, c'est--dire les diffrentes tapes de mise en uvre de loutil,
par lotissement fonctionnel, gographique ou autre, doit tre pense en fonction de la stratgie de
tests.
Par ailleurs, il peut tre intressant de dfinir un certain nombre dindicateurs de performance qui
permettront de suivre et mesurer en temps rel la rsolution par lditeur ou par lintgrateur des
carts constats :
nombre de dfaillances rsolues entre deux phases de test,
temps de traitement / rsolution des problmes constats.
Il est important de bien drouler et suivre les plans de tests afin de noublier aucun point important
au moment de la recette de la solution.
La phase pilote
Aprs la phase de test et avant la mise en production, la mise en place et le droulement dune
phase pilote va permettre de tester la majorit, voire la totalit, des fonctions de loutil.
Lintrt de cette tape est de drouler la suite, et non plus sparment lensemble des fonctionnalits de loutil, et dobtenir un retour dexprience de la part des utilisateurs.
La phase pilote va permettre de sassurer que les fonctionnalits de loutil sembotent correctement et que loutil gre les cas particuliers.
Il est important que le primtre fonctionnel et organisationnel de la phase pilote soit suffisamment large pour couvrir les principales fonctionnalits. De mme, dans le cadre dun questionnaire
dauto-valuation du contrle interne, inclure une filiale ltranger peut aider anticiper dventuels problmes techniques (type connexion distance) avant le lancement de la campagne classique. La phase pilote doit faire lobjet dun retour dexprience et, ventuellement, dun
questionnaire de satisfaction de la part des utilisateurs pilotes. Ce retour terrain permettra de
remonter dventuels dysfonctionnements et de procder certains ajustements, qui seront dautant plus pertinents que le panel dutilisateurs pilotes sera choisi parmi des personnes sensibilises
aux activits daudit et de contrle internes.
IFACI
45
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
6.2 G RER LE
CHANGEMENT
La gestion du changement est ncessaire ds lors que les interfaces hommes / machines (IHM), les
mthodes de travail, les acteurs ou encore les attendus voluent.
Elle se gre de lexpression des besoins jusqu la mise en uvre.
Facteurs cls de succs
Anti patterns
Impose
Dpossession
Communication descendante
Pour des primtres homognes et ne concernant pas un nombre lev de personnes, la gestion du
changement est souvent une faon de faire passer la pilule d'objectifs inadquats, d'une
mauvaise conception, de tests insuffisants, d'une organisation inadapte, etc.
La taille des services d'audit ou de contrle internes est gnralement modeste. Permettre aux utilisateurs de s'impliquer toutes les tapes du projet, mme les plus amont, afin d'optimiser la
gestion du changement, ne devrait pas constituer un dfi insurmontable.
Toutes choses gales par ailleurs, mieux un projet est conduit, moins il y a besoin de gestion du
changement en tant que phase spcifique du projet. Plusieurs modalits peuvent tre envisages
passant par une formation de lditeur pour lensemble des utilisateurs, les conseils de lintgrateur
ou la formation de formateurs qui prendront le relais pour accompagner le changement auprs des
utilisateurs finaux.
IFACI
46
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 7
M AINTENANCE /
IFACI
ADMINISTRATION
47
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Il ne faut pas sous-estimer les tches dadministration quimplique le recours des progiciels.
Ce poids nest pas linairement proportionnel la taille du progiciel ou au nombre dutilisateurs :
le ticket dentre peut tre lourd.
Plusieurs axes dadministration peuvent tre dgags :
ladministration des donnes (gestion des accs, mise jour documentaire, paramtrage,
archivage, etc.) ;
le contrle de conformit aux procdures (surveiller par exemple que les donnes soient
saisies en temps opportun, avec les bons formulaires) ;
le contrle de la fiabilit des donnes (cf. annexe 8 La fiabilit des donnes , p. 73) ;
le support aux utilisateurs qui est trop souvent nglig et mal dimensionn dans ce type de
projet de (gestion des incidents, questions, demande de modifications, etc.) ;
la formation des nouveaux arrivants dans le service (qui sen occupe ? quels sont les
messages ? Y a-t-il une possibilit de e-learning notamment pour les organisations dcentralises ?) ;
grer les modifications du progiciel (planifier le changement de version, organiser des tests,
notifier aux utilisateurs lindisponibilit de lapplication, etc.).
Ces points ne doivent pas tre ngligs sous peine de remettre en cause de lutilit du logiciel.
Il ne faut pas sous-estimer le temps consacr aux tches dadministration de donnes (gestion des
accs, mise jour documentaire, paramtrage, archivage, etc.) quimplique le recours des logiciels
intgrs , notamment lorsque lquipe daudit interne est dun effectif infrieur ou gal 10
personnes. Il convient didentifier la ou les personne(s) en charge de ladministration de loutil
(responsable qualit du dpartement si il existe, lassistante du service, une personne ddie, etc.)
et de les former en consquent.
Un outil ne permet pas de sexonrer du travail pralable de comprhension des donnes traiter :
que signifient-elles (quel est leur sens) ? Couvrent-elles nos besoins daudit ? Sont-elles fiables et
utilisables ? (cf. annexe 7 La fiabilit des donnes , p. 71).
IFACI
48
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Risque
Rponses
IFACI
49
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
PARTIE 8
LE
IFACI
50
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Un bilan de projet a comme objectif essentiel de nous aider gagner en exprience. Il doit, en
consquence, tre profondment honnte : on ne fait un bilan, ni pour plaire, ni pour rgler ses
comptes.
Le responsable de laudit interne avait-il surestim le besoin ? Il faudra en dcrire la cause
et les consquences.
Le chef du projet a-t-il t capable danimer les ateliers dexpression de besoins ? On crit
pourquoi.
Il faudra systmatiquement se rfrer aux objectifs initiaux du projet (tels que formuls dans le business case) et valuer les carts pour en tirer les consquences en termes de :
ce quil faut refaire ;
ce quil aurait fallu faire ;
ce quil ne faut plus faire, etc.
On pourra utilement reprendre la typologie dexigences labore lors de lexpression des besoins
(cf. annexe 2 Organisation de sessions participatives dexpression des besoins , p. 54) ainsi que
le tableau de bord de suivi des dlais et des cots afin de constituer la trame du bilan.
Si ctait refaire ? Retours dexpriences de responsables daudit et de contrle internes en 5
points cls.
1. Avoir le mme interlocuteur (qualifi et comptent) chez lditeur du dbut la fin du
projet. Veiller ce que les changements ventuels soient justifis et ne se traduisent pas par
une baisse de ractivit.
2. Ne pas faire lconomie dune phase pilote avant les tests en grandeur nature cela apporte
beaucoup mme si le projet prend un peu de retard.
3. Avoir ds le dbut une vision de lusage de loutil 3 ans : par exemple, largir le module
contrle interne au module audit ou linverse. Cela conditionne le projet et les solutions
proposes.
4. En profiter pour renforcer les liens entre laudit, le contrle interne et la gestion des risques.
Partager un outil commun aide beaucoup.
5. Ne pas sous-estimer la formation des utilisateurs.
IFACI
51
A NNEXES
IFACI
ANNEXE
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
52
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 1 - CONSEILS
Risque
Rponses
IFACI
ANNEXE
Comme dans tous projets informatiques, le service daudit ou contrle interne pourrait prfrer (faire) dvelopper en interne loutil recherch plutt que de lacqurir pour diverses
raisons (personnalisation de la solution, logiciel dj existant au sein dun autre service, cot
limit, etc.). Il peut arriver, par exemple, que suite la phase danalyse des besoins, lacquisition dune solution complte dun diteur ne rponde pas aux attentes exprimes. En effet, si
lobjectif est damliorer la traabilit de linformation, larchivage des donnes et de faciliter
les validations, le dveloppement de bases documentaires au sein dun Lotus Notes dj
prsent dans la socit serait peut tre suffisant.
53
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 2 - O RG ANISATI ON
BESOINS
Cette annexe prsente les lments phares de la mthode RAD (rapid application design) et le
droulement d'un JRP (joint requirements planning) qui vous permettront d'organiser des
sessions participatives d'expression des besoins.
ANNEXE
RAD est une mthode itrative qui part du principe que les utilisateurs ne connaissent pas
vraiment leurs besoins ds le dbut du projet et que leur participation au projet leur permettra d'affiner celui-ci.
Un JRP consiste mettre en place une suite de runions structures ayant pour but la
production rapide dune expression des besoins valide et fiable.
Rappelons rapidement que la phase de JRP est la deuxime phase de la mthode RAD. Elle
est en effet uniquement prcde par la phase d'initialisation du projet, qui permet de fixer
le cadre du projet et son organisation. Elle est suivie par les phases de conception, puis de
ralisation. Il faut savoir que l'expression des besoins obtenue l'issue du JRP n'est pas fige,
elle est prvue pour voluer le long des phases de conception et de ralisation.
IFACI
54
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
ANNEXE
Bien sr, il est toujours hasardeux d'utiliser un outil sorti de sa dmarche. Pour un JRP qui ne
s'inscrit pas dans un cycle itratif de dveloppement RAD, on pourrait imaginer de tenir,
selon l'importance du projet, une trois sessions dune ou deux journes afin d'exprimer le
besoin et de mettre en exergue les lments indispensables (les sine qua non) qui permettront
de statuer sur la poursuite de la continuation du projet, et d'valuer sa russite lors du bilan.
IFACI
55
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 3 - E TAT
A. Contexte : le projet
B. Objectif(s) et caractristiques gnrales de loutil recherch
B.1. Primtre fonctionnel
B.2. Principaux utilisateurs
B.3. Critres techniques
C. Contexte, risques et contraintes
C.1. Organisation
C.2. Principes de fonctionnement
D. Mthodologie de contrle interne
D.1. Le rfrentiel
D.2. Evaluation des risques
E. Projet de dploiement
E.1. Calendrier et tapes attendues
E.2. Reprise de lexistant
F. Schma organisationnel cible
F.1. Scnario 1
F.2. Scnario 2
F.3. Scnario 3
ANNEXE
IFACI
56
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Cet outil doit pouvoir voluer terme, en fonction du niveau dappropriation et dacceptation par les utilisateurs, par lajout des fonctionnalits suivantes :
gestion documentaire de premier niveau Diffusion des bonnes
pratiques ;
module Audit Interne et aide au plan daudit / Cartographie des
risques.
La liste des fonctionnalits dtailles attendues sera dcrite dans un
document spcifications fonctionnelles dtailles .
Lexploitation des donnes doit pouvoir tre ralise facilement par les utilisateurs, indpendamment de loutil slectionn.
Il convient donc de disposer dun module de reporting intgr la solution ou dun
module externe utilisant les donnes tires de la solution (notamment la possibilit dexporter des donnes vers des outils bureautiques classiques).
ANNEXE
IFACI
57
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
ANNEXE
IFACI
Pour plus de prcisions sur ces approches, vous pouvez vous rfrer dautres publications de lIFACI par exemple Lautovaluation du Contrle Interne ou Des cls pour la mise en uvre et loptimisation du contrle interne .
58
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Jalon
Nov.-Dc.
Fvrier
Mars
ANNEXE
Finalisation du paramtrage
Finalisation / validation du paramtrage par Activits / filiales
Recette finale
Mars
1 au 15 avril
Avril-Mai
Avril-Juin
IFACI
59
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
ANNEXE
IFACI
60
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 4 - E XEMPLES
DE GRILLE DE SLECTION
Exemple 1
Commentaires
Notation 1 ( mauvais)
3 (bon )
Elments descriptifs
Elments de la slection
Qualification /
essentiel ou
souhaitable
Rponse logiciel A
ANNEXE
IFACI
61
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Solution 3
Bonne connexion / rapidit / pas de perte de travail occasionne par des dconnexions
rseau
Aide personnalisable
Facilit et suivi des revues et des retours de commentaires des documents de travail (simple /
complexe / problmatique, etc.)
Droits daccs - est-il possible de limiter les droits certaines sections ou certains projets ?
Lgende
Solution 1
Solution 2
Exemple 2
N
O
ANNEXE
FONCTIONNALIT DE BASE
PERSONNALISATION
Modification des noms des champs (quelques-uns / plusieurs / tous)
IFACI
O
O
62
Solution 1
Solution 2
Solution 3
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Lgende
DOSSIERS JUSTIFICATIFS
O
O
Formulaire / champs pour tester les contrles (champs requis : apprciation globale du
contrle, domaine fonctionnel)
Il existe une solution permettant de tester les contrles sur diffrents sites (facile / compliqu)
Les tests des contrles, constats et plans d'action sont regroups sur un formulaire (rpond
nos besoins, c'est--dire plusieurs sites et dates de constats)
IFACI
ANNEXE
63
Solution 1
Solution 2
Solution 3
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Formulaires / champs pour enregistrer les constats (peuvent-ils tre rapprochs de nos
champs obligatoires ?)
Lgende
Les constats peuvent tre directement transmis au management partir du logiciel (pas de
cot supplmentaire / cots supplmentaires)
Les commentaires relatifs aux plans d'actions peuvent tre intgrs aux constats
IFACI
Tous les champs peuvent tre filtrs et tris (y compris les champs modifis / ajouts)
Les champs peuvent tre exports dans un rapport d'audit gnr automatiquement (en
nombre limit / certains / la plupart / tous)
Les modifications des rapports d'audit (dans un fichier externe) peuvent tre rintgres
dans la base de donnes
Les modles de rapports peuvent tre personnaliss (filtres, conditions, formules) et rutiliss
avec des donnes actualises
Les rapports peuvent tre excuts automatiquement dans le cadre d'une planification et
visualiss par tous
ANNEXE
REPORTING
64
Solution 1
Solution 2
Solution 3
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Tlchargement de l'intgralit des donnes d'audit, y compris les preuves daudit (facile /
complexe)
Existence des fonctionnalits de gestion des risques / valuation des risques / univers des
risques au sein du module
Outils de planification
Lgende
Proximit / disponibilit des gestionnaires de compte / du support ( proximit, 24h sur 24,
7 jours sur 7)
IFACI
ANNEXE
AUTRE
65
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Exemple 3
SPECIFICITES
Couvrir 50 filiales avec environ 850 utilisateurs
Permettre de relier des processus des risques
Permettre de relier des risques des contrles
Mettre en place un processus de dlgation et de supervision dans la documentation
des contrles et dans les tests
Un reporting en ligne simple et rapide avec des indicateurs cls
Possibilit de crer des rapports varis sans passer par lditeur avec des axes danalyses varis (BU, BD, Zone, Rgion, Pays, Filiale)
Un suivi des plans daction
Utilisation facile pour les auditeurs, contrleurs internes, responsables oprationnels
Bonne rputation du vendeur
Une hot line disponible 24/24, 7/7 mme depuis ltranger
Editeurs / Critres
Reporting intgr en ligne simple et rapide avec des indicateurs cls (Majeur)
Possibilit de crer des rapports varis sans passer par lditeur avec des axes danalyses
Suivi des plans daction (Majeur)
Utilisation facile (Majeur)
Bonne rputation du vendeur
Une hot line disponible 24/24, 7/7 mme depuis ltranger (Majeur)
IFACI
ANNEXE
BENEFICES ATTENDUS
Etre en capacit de soutenir le processus Sarbanes-Oxley dans lorganisation
Documenter les objectifs de contrles ainsi que les procdures de contrles (narratives, diagramme de circulation, vidence du contrle)
Permettre un suivi de lavancement de la documentation de lexistence des contrles
Evaluer lefficacit des contrles existants par une auto-valuation et des tests indpendants
Consolider les rsultats sur les tests (% davancement de la documentation, % de
contrles tests / non tests, fonctionnant / ne fonctionnant pas, etc.)
Mise en place et suivi de plans daction
66
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Exemple 4
Solution 1
Solution 2
Solution 3
CRITRES
Scurit des accs
Cut-off (en deux annes)
Documentation des modifications + versionning
Vitesse pour gnrer des rapports
Utilisation facile
Multi-critres
Existence dalertes
Peu de formation exige
Ergonomie
Menu Aide et support tlphonique
Suivi des plans daction
Multilingue (Franais Espagnol)
OPTIONNEL
Cartographie des risques
Suivi des plannings
Indicateurs de performance
IFACI
ANNEXE
67
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 5 - L ANALYSE
DES DONNES
Selon le GTAG sur les technologies danalyse de donnes1, lutilisation des technologies
danalyse de donnes est de nos jours un atout majeur qui permet aux auditeurs daccrotre
la couverture de leurs audits, dtre plus efficace et davoir un degr dassurance plus important.
Dune manire gnrale, lutilisation dindicateurs cls issus danalyses de donnes permet
dvaluer et dapprcier au mieux les risques lis aux processus oprationnels et financiers.
De plus, un grand nombre de revues analytiques et danalyses telles que les analyses lies
la loi de Benford2, les dtections de doublons, les ruptures de squences, permettent de
dtecter trs rapidement des anomalies et ainsi dorienter ses recherches. Par exemple, de
telles analyses permettent de quantifier de manire prcise limpact dun contrle dfectueux
ou dune fraude avre ou suppose. Lannexe A de ce GTAG propose une liste de requtes
ralisables titre dillustration dans le cadre dun audit sur le processus achats.
Cependant, il est important de souligner que laccs aux donnes ainsi que llaboration
danalyses et de rapport dexception peuvent tre compliqus et fastidieux, en labsence de
solution adapte et du niveau de comptence ncessaire pour comprendre et faire fonctionner de tels outils. En effet, il est ncessaire :
de localiser et daccder aux donnes dont les sources peuvent avoir diffrents
formats (comprhension de la structure des donnes dune base),
de ne conserver que les donnes utiles et pertinentes.
ANNEXE
Bien que les services daudit interne effectuent de lanalyse de donnes depuis plus de 25 ans,
cest seulement depuis quelques annes que cette dmarche sest standardise. Lanalyse de
donnes permet aux auditeurs davoir une vision globale relative la gestion des processus
oprationnels ainsi que financiers, et permet rapidement daller un niveau de dtail mais
aussi de cibler ses recherches.
A titre dexemple, les diteurs les plus connus de lanalyse des donnes pour les auditeurs
comme pour les contrleurs sont ACL et IDEA. Mais dautres solutions trs rpandues
comme Microsoft Access ou simplement Excel peuvent, dans une moindre mesure, permettre
de raliser de telles analyses.
Ce GTAG contient galement une grille indicative de critres de slection en annexe B.
1
2
Global technology audit guide : data analysis technologies / Altus J. Lambrechts, et al. IIA, 2011.
La loi de Benford, aussi appele loi des nombres anormaux , est une loi statistique permettant didentifier des anomalies dans une
liste de donnes et chiffres. La loi nonce que le 1er chiffre non nul le plus frquent est 1, le 2 est lui-mme plus frquent que 3, le 3
que le 4 et la probabilit d'avoir un 9 comme premier chiffre est la plus basse. Dans le cadre de lanalyse des oprations diverses
comptable, si lauditeur dtecte une quantit de doprations commenant par 7 anormalement leve, il fera un focus particulier dans
le cadre de son chantillon.
IFACI
68
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
ET DE CONTRLE EN CONTINU
ANNEXE
L'audit continu (CA pour Continuous Auditing) et le contrle continu (CM pour Continuous
Monitoring), bien que leur dfinition varie dune organisation lautre, ont pour objectif doffrir une meilleure transparence des oprations et dassurer la rgularit de la production du
reporting, et ce au plus prs du temps des activits oprationnelles, grce des outils de
dtection et de pilotage.
Il faut souligner que laudit en continu / contrle continu est totalement dpendant de la
qualit et de la pertinence des donnes vhicules par le systme dinformation de lorganisation.
L'audit continu se compose alors essentiellement de deux volets1 :
1. l'valuation continue du contrle, qui se focalise sur la dtection au plus tt des dficiences de contrle ;
2. l'valuation continue des risques, qui met en lumire les processus ou les systmes
qui prsentent un niveau de risque mal apprhend par le systme de contrle
permanent.
Voir le GTAG : Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques / David Coderre, et al., IFACI
trad. IIA, 2005.
IFACI
69
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Comme pour l'audit classique, les efforts dploys sur l'audit continu sont fonction du risque
d'audit sur le process ou le systme. De mme, ils sont inversement proportionnels la qualit
des contrles permanents exercs.
D'une faon plus concrte, l'audit continu consiste assurer la collecte automatise, rgulire
ou continue, de preuves daudit et d'indicateurs. Cette collecte est ralise par un contrleur
interne ou un auditeur interne ou externe sur la base des systmes dinformations, des
processus et des contrles dploys dans lorganisation. Les informations recueillies amliorent les capacits daudit et favorisent le respect de la conformit avec les bonnes pratiques,
les procdures et les rglementations. Elles permettent aussi une meilleure prparation des
missions daudit en permettant une analyse des risques plus prcises fonde sur des critres
quantifis. Dans certains cas, laudit en continu doit permettre lidentification des faiblesses
de contrle dans des dlais plus restreints que dans le cadre dune approche classique.
Les organisations qui mettent en place des processus daudit en continu / contrle continu
obtiennent ainsi des avantages considrables :
accrotre les capacits de surveillance des risques et des contrles laide doutils de
pilotage et didentification anticipe des risques ;
prvenir et dtecter la fraude ;
optimiser la ralisation de tests defficacit des contrles et des oprations grce
lautomatisation ;
communiquer (rapidement) des indicateurs dactivit pertinents au comit de direction.
IFACI
ANNEXE
Par ailleurs, le GTAG sur laudit en continu rappelle qu'en l'absence de contrles permanents
adquats, l'audit interne doit raliser des tests approfondis de corroboration, la plupart du
temps sous forme de dispositifs informatiss. Les programmes ou les requtes informatiques
raliss dans ce cadre peuvent alors tre livrs aux entits audites l'issue de la mission
pour enrichir les dispositifs de contrle permanent.
70
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
A NNEXE 7 - L A
Nous traitons ici de la fiabilit des donnes dans le cadre de leur exploitation par un outil
danalyse, que ce soit pour un test daudit ou un dispositif daudit en continu / contrle
continu.
Sur ce sujet, les normes daudit du GAO1 sont particulirement clairantes. Elles stipulent
que quand les donnes informatises constituent une part importante ou intgrale du matriel
daudit et que la fiabilit des donnes est cruciale pour raliser les objectifs daudit, les auditeurs
doivent sassurer que les donnes sont pertinentes et fiables. Cette assurance doit tre acquise, que les
donnes soient fournies aux auditeurs ou que les auditeurs les obtiennent par leurs propres moyens.
Pour dterminer le niveau de fiabilit des donnes, les auditeurs peuvent :
soit conduire une revue des contrles gnraux et dapplication des systmes informatiss, en
y effectuant des tests ;
soit conduire dautres tests et procdures, si les contrles gnraux et dapplications ne sont
pas passs en revue ou sont considrs comme non fiables.
ANNEXE
Lanalyse des donnes (et donc les conclusions que lon peut en tirer) est compltement
tributaire de la qualit des donnes brutes utilises. Cela ncessite donc que lauditeur /
contrleur interne se soit assur pralablement de cette qualit, par exemple lors de la
mission / activit en cours, ou en rfrence des audits antrieurs qui lont tabli.
Quand lobjectif principal de laudit est la fiabilit dun systme informatis, les auditeurs devraient
systmatiquement conduire une revue des contrles gnraux et dapplications de ce systme.
Quand les donnes informatises sont utilises (ou cites dans le rapport) par lauditeur titre dinformation et nont pas dimpact sensible sur les rsultats daudit, on considre quil suffit de citer la
source des donnes dans le rapport afin de satisfaire aux normes pour ce qui est de lexactitude et de
lexhaustivit.
IFACI
71
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Tests daudit
sur des donnes
informatises ?
NON
B
Exercer les tests prvus
Niveau de fiabilit
connu et suffisant ?
NON
Autres sources
de donne
envisageables ?
NON
NON
ANNEXE
NON
Changement possible ?
NON
Pour une introduction cette problmatique, voir Facing the data integrity challenge / Raymond Wessmiller. - in www.itaudit.org
volume 5 May 1 2002. Pour approfondir la dmarche du GAO relative la fiabilit des donnes, voir Assessing the reliability of
computer-processed data: applied research and methods, October 2002, GAO-03-273G.
IFACI
72
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
DU PROJET
/ R PONSES
Risques
Rponses
Mconnaissance de lorganisation.
IFACI
ANNEXE
A NNEXE 8 - TABLEAU
73
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Risques
Rponses
Sur-adaptation du progiciel.
Cot sous-valu.
IFACI
ANNEXE
74
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Rponses
IFACI
ANNEXE
Risques
75
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
BIBLIOGRAPHIE
Lgislation
Sarbanes-Oxley Act of 2002 (http://www.sec.gov)
Rfrentiels / Normes
ISO/IEC 15504 Information technology - Process assessment (SPICE (Software Process
Improvement and Capability Determination))
ISO/IEC 9126-1:2001 Gnie du logiciel - Qualit des produits
Cadre de rfrence international des pratiques professionnelles de laudit interne / IIA, IFACI trad.
IFACI, 2012.
MPA 2320-2 : Analyse causale.
GTAG 3 Audit continu : rpercussions sur lassurance, le pilotage et lvaluation des risques
/ David Coderre, John G. Verver, J. Donald Warren Jr., IFACI trad. IIA, IFACI ; 2005.
GTAG 16 Government Auditing Standards (2011 Revision) / Comptroller General of the
United States. 2011 (Revised on January 20, 2012).
IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control
Professionals / ISACA. - 2010
IT Audit and Assurance Guidelines: G3 Use of Computer Assisted Audit Techniques (CAATs) /
ISACA. ISACA, 2008.
Ouvrages
Panorama des systmes dinformation de gestion des risques 2012, 4me dition (Cahier technique).
/ AMRAE. AMRAE, 2012
Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms / French Caldwell, John
A. Wheeler. Gartner, 2012.
Gouvernance du systme dinformation : guide daudit / AFAI, IFACI, CIGREF. IFACI, 2011.
Des cls pour la mise en uvre et loptimisation du contrle interne / Unit de Recherche IFACI,
2011
The Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011 / Chris
McClean. Forrester, 2011.
Vecteur 6 : Matrise de la ralisation des projets en fonction des enjeux mtiers in Le contrle
interne du systme dinformation des organisations / IFACI, CIGREF. IFACI, 2009.
Human Factors in Project Management: Concepts, Tools and Techniques for Inspiring Teamwork
and Motivation / Zachary Wong. ISACA, 2007.
Lauto-valuation du contrle interne (Cahier de la recherche) / Unit de Recherche. - IFACI, 2005
IFACI
76
SLECT IONNER UN OUT IL IN FOR MATI QU E POUR L ES SERV I CES D AUDI T ET DE CONT R L E I NT ERN ES : U N V RI TA B LE PROJET
Enqutes
CBOK - Common Body of Knowledge : vos pratiques au regard des tendances europennes et
mondiales / IFACI. IFACI, 2011.
Imperatives for Change: The IIAs Global Internal Audit Survey in Action (The IIAs Global Internal
Audit Survey: A Component of the CBOK Study) / Richard J. Anderson, J. Christopher Svare. IIA,
2011.
Core competencies for todays internal auditor: report II: the IIAs global internal audit survey: a
component of the CBOK study / James A. Bailey. IIA; 2010.
Articles
Etat des lieux des outils informatiques disposition des auditeurs [dossier]. - revue Audit & Contrle
internes, n212, dcembre 2012.
IT project management / Shannon Buckley. Internal auditor, august 2011.
Leveraging data analysis software / Norman Marks. Internal auditor, august 2009.
Continuous auditing from a practical perspective / Kevin Handscombe. in Information Systems
Control Journal, volume 2, 2007.
An array of technology tools / Glen L. Gray. - Internal auditor, august 2006.
Generalized Audit Software: Effective and Efficient Tool for Todays IT Audits / Tommie Singleton.
in JournalOnline, 2006.
Continuous auditing through leveraging technology / Srinivas Sarva. in Information Systems
Control Journal, volume 2, 2006.
The wave of the future / Douglas E. Ziegenfuss. in Internal Auditor, April 2006.
Why Companies Are Not Implementing Audit, Antifraud and Assurance Software and How to
Fix It / Dean Brooks,Rich Lanza. in JournalOnline, 2006.
A continuous view of accounts / David Coderre. in Internal Auditor, April 2006.
Opening the door / Neil Baker. - Internal auditor, august 2005.
Ralisation :
Open source tools for security and control assessment / K.K. Mookhey in Information Systems
Control Journal volume 1, 2004.
Get the most out of audit tools / Russell A. Jackon. in Internal auditor, august 2004.
Continuous auditing: risks, challenges and opportunities / Sean Chen. in The international journal
of management and technology, Volume 1, Number 1, 2003.
Choosing the right tool / Tim McCollum, David Salierno. in Internal Auditor, August 2003.
Data analysis with SQL / Tim McCollum www.itaudit.org, volume 5, September 1, 2002.
IFACI
77