L'audit, un outil de pilotage

pour vos projets

par Marc Barbezat
Soi re-formati on

Marc Barbezat . . .
http: //www. i saca. ch/
r Reprsentant romand du comi t de
l ' associ ati on sui sse des audi teurs
i nformati ques I SACA
http: //www. i sei g. ch/
r I ni ti ateur et coordi nateur de l a formati on
certi fi ante d' audi t i nformati que CI SA en Sui sse
romande
r Crateur et responsabl e de l a cel l ul e
d' i ntel l i gence conomi que pour l a banque et l a
fi nance B3B. ch
http: //www. bcv. ch/
r Audi teur i nterne I T,
Groupe Banque Cantonal e Vaudoi se

Programme Les questi ons
r Quel s sont l es objectifs d' un audi t de proj et ?
r Comment prparer et accompagner l e droul ement d'un
audi t de proj et ?
r Quel l es informations i ssues de l ' audi t peuvent tre
expl oi tes pour l e pi l otage du proj et ?
Prsentation de l'approche d'audit
L'audit: Dfinition, terminologie et principes
Focalis sur la gestion de projet
Focalis sur la gestion de projet

L'audit

Dfinition et contexte d'intervention

Terminologie

Construction du risque

Gestion du risque versus contrle du risque

Dfi ni ti on
r L' audi t, exerc par un audi teur, est un processus
mthodique, indpendant et document permettant
de recuei l l i r des i nformati ons obj ecti ves pour
dtermi ner dans quel l e mesure l es exi gences sati sfont
aux rfrenti el s du domai ne concern.
L'audit
Objectifs des audits:
r Fourni r au management l ' assurance que l es obj ecti fs de
contrl e rel evant sont attei nts
r I denti fi er l es fai bl esses si gni fi cati ves dans ces contrl es
r Documenter l e ri sque connect avec de tel l es fai bl esses
r Consei l l er l e management sur l es mesures
i mpl menter

Dfi ni ti on
Pour l'auditeur:
r L' audi t est l e processus permettant l a vri fi cati on de
l ' i nformati on et dtermi ner l a prci si on et l a fi abi l i t des
asserti ons du rapport
La vri fi cati on est l e processus de col l ecte d'vi dence
suffi sante permettant l ' audi teur de confi rmer l ' exacti tude
de ses constatati ons, i n extenso de sa pri se de posi ti on

Les vi dences d' audi t sont toutes l es i nformati ons qu' un

audi teur uti l i se pour dmontrer ses constats
L'audit

Code d' thi que professi onnel
Conformit avec les standards et les meilleures pratiques
Diligence et professionnalisme
Servir l'intrt des actionnaires de manire honnte et respectueuse des lois
Respect de la confidentialit et des affaires prives
Maintien des comptences
Informer et communiquer de manire approprie
Eduquer et sensibiliser les actionnaires
L'audit Dfinition

Types d' audi t
L'audit Dfinition
Quelques exemples:
r Audi t fi nanci er
r Audi t oprati onnel
r Audi t de conformi t (l oi s, rgl ements)
r Autres audi ts spci fi ques:
Audi t i ntgr (combi nant l es aspects fi nanci ers et oprati onnel s
Audi t admi ni strati fs (val uati on de l ' effi caci t oprati onnel l e /
producti vi t)
Audi t du systme d' i nformati on
Audi t spci al i s (domai ne spci fi que, dmarche standardi se, . . . )
Audi t de forensi c (cas de fraude)
. . .

Stratgi e de
l ' entrepri se
Pi l otage d' un
proj et
. . .
Contexte d' i nterventi on
L'audit

Personnes et
organi sati on
Processus et
foncti onnement
Outi l s et
technol ogi e

obj ecti fs
obj ecti fs
obj ecti fs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE

Contexte d' i nterventi on
L'audit Contexte d'intervention
Stratgi e de
l ' entrepri se
Pi l otage d' un
proj et
. . .

obj ecti fs
obj ecti fs
obj ecti fs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE
F
i
n
a
n
c
i
e
r
C
o
n
f
o
r
m
i
t

O
p

r
a
t
i
o
n
n
e
l
Processus d' audi t Processus d' audi t
Focal i sati on sur l es domai nes
haut ri sque de l a soci t

Pri nci pe de pl ani fi cati on des audi ts
r Pl ani fi cati on l ong terme
Par exempl e tri ennal e
Li l a pl ani fi cati on stratgi que de l 'entrepri se
Facteurs consi drer

Changements de technol ogi es

Nouveau pri nci pes de contrl e

Modi fi cati on de processus oprati onnel s

Nouvel l es contrai ntes rgl ementai res

. . .
r Pl ani fi cati on court terme
Annuel l e
Li l a pl ani fi cati on des ressources
L'audit Contexte d'intervention

Termi nol ogi e
L'audit
SYSTEME DE
SYSTEME DE
CONTRLE I NTERNE
CONTRLE I NTERNE
RI SQUE
RI SQUE
VULNERABI LI TE
VULNERABI LI TE
CONTRLE
CONTRLE
MENACES
MENACES
prventi f
dtecti f
correcti f
desi gn
effi caci t
i nhrent
contrl e
dtecti on
i mpact
frquence

Menace et vul nrabi l i t
r Menace
Tout acte, si tuati on, vnement, pouvant tre
l ' ori gi ne de dgts ou de dommages sur un bi en
ou une personne physi que ou moral e.
r Vul nrabi l i t
Une vul nrabi l i t est une fai l l e dans une
procdure, un systme, l e desi gn,
l ' i mpl mentati on d' un contrl e qui peut tre
expl oi te pour abuser l a scuri t ou empcher
d' attei ndre l es obj ecti fs de l a soci t
I nhrente l envi ronnement de l a soci t. Une
vul nrabi l i t peut concern l es bti ments et l es
l ocaux, l es l ogi ci el s et appl i cati ons, l es
systmes,
L'audit Terminologie

Ri sque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
DE L'ACTIF DE L'ACTIF
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
I I
M M
P P
A A
C C
T T

Ri sque et contrl e
r Ri sque
Evnement qui est suscepti bl e d entraner des dommages
et/ou des pertes pour l entrepri se concerne
r Contrl e
Les contrl es sont des pol i ti ques, des procdures, des
prati ques et des structures organi sati onnel l es dsi gnes
pour mettre di sposi ti on une assurance rai sonnabl e que l es
obj ecti fs busi ness seront attei nts et que l es vnements non
souhai ts pourront tre prvenus ou dtects et corri gs
L'audit Terminologie

Systme de contrl e i nterne SCI
r Systme de contrl e i nterne
Ensembl e des contrl e (mthodes et procdures) uti l i ss
dans une soci t

pour l a protecti on des acti fs de l ' entrepri ses

Comptabi l i t correcte et conforme

Management effi cace de l a soci t

Conformi t avec l a stratgi e oprati onnel l e

Prventi on et l a dtecti on d' erreurs et d' i rrgul ari ts

. . .
L'audit Terminologie

Ri sque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
IMPACT - IMPACT -
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE

Constructi on du ri sque
L'audit
couverture d audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de dtecti on
Processus
d apprci ati on des ri sques
Menaces Vul nrabi l i ts I mpact
Frquence
de
survenance
Ri sque i nhrent
Ri sque de contrl e Prventi f Dtecti f Correcti f

Ri sques i nhrents
r Ri sque i nhrent:
Type de produi ts ou de servi ces
Si tuati on de concurrence
I ndustri e
Tai l l e et tats fi nanci ers de l a soci ts
Dvel oppement technol ogi que
Envi ronnement i nformati que
. . .
L'audit Construction du risque
couverture d audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de dtecti on
Processus
d apprci ati on des ri sques
Menaces Vul nrabi l i ts I mpact
Frquence
de
survenance
Ri sque i nhrent
Ri sque de contrl e Prventi f Dtecti f Correcti f

Ri sques de contrl e
r Cul ture d' entrepri se
r Acti vi ts / i ndustri es
r Rorgani sati on, fusi ons,
acqui si ti on, outsourci ng
r Staff, personnes et organi sati on
r Gesti on des changements
r Manque de di recti ves et de
documentati ons
r Sgrgati on des tches
r . . .
L'audit Construction du risque
couverture d audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de dtecti on
Processus
d apprci ati on des ri sques
Menaces Vul nrabi l i ts I mpact
Frquence
de
survenance
Ri sque i nhrent
Ri sque de contrl e Prventi f Dtecti f Correcti f

Ri sques de dtecti on
r Erreur non dtecte
r I ndi cateurs i neffi caces
r Pl anni ng d'audi t i nadquat
r Rsul tats d' audi t i nterprt de
mani re i ncorrecte
r Constats non pondrs de
mani re correcte
r . . .
L'audit Construction du risque
couverture d audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de dtecti on
Processus
d apprci ati on des ri sques
Menaces Vul nrabi l i ts I mpact
Frquence
de
survenance
Ri sque i nhrent
Ri sque de contrl e Prventi f Dtecti f Correcti f

L'approche audit

Comprhension de l'environnement

Identification des risques

Identification des contrles

Apprciation des risques

Communication des rsultats

Suivi des constatations

1 . Comprhensi on de l ' envi ronnement
L'approche d'audit

Personnes et
organi sati on
Processus et
foncti onnement
Outi l s et
technol ogi e
+
Dimensions considrer
r I denti fi ?
r Dfi ni ?
r Val i d?
r Document?
r I mpl ment?
r Survei l l ?
r Revu?

Qualit de l'information
et quantit d'information
Processus de documentati on Processus de documentati on
Techni ques et outi l s
r I ntervi ews
Di recti on
Personnes cl s
Empl oys
r Revue de documentati on (papi er et l ectroni que)
Pol i ti ques, standards et procdures
Mode d' empl oi
. . .
r Observati on
Mode opratoi re
Responsabi l i t, l i mi tes d' acti vi ts
. . .
L'approche d'audit 1. Comprhension de l'environnement

Quanti t et qual i t de l ' i nformati on col l ecte
r Pertinente
Al i gne sur l es obj ecti fs de
l ' audi t
En rel ati on l ogi que avec
l es constatati ons et l es
concl usi ons
r Rel i abl e
Val i de (temps, domai ne,
source i ndpendante, etc. )
Factuel l e
Obj ecti ve (i nterprtati on)
r Suffi sante
Compl te
Adquate
Convai ncante
r Condui rai t un autre audi teur
aux mmes concl usi ons
L'approche d'audit 1. Comprhension de l'environnement

2. I denti fi cati on des ri sques
L'approche d'audit
Menaces Vul nrabi l i ts I mpact
Frquence
de
survenance
Ri sque i nhrent
Anal yse de ri sques
Qual i tati ve Qual i tati ve
Ai de l a pl ani fi cati on de l ' val uati on des contrl es
Confi rme l es obj ecti fs d' audi t

Anal yse de ri sques
Gesti on du ri que vs contrl e du ri sque
L'audit 2. Identification des risques
Principe d'indpendance Principe d'indpendance
Gestion
des ri sques
Temps Qual i t Cots
Oprationnel
Gestion de projet
Controle
des ri sques
Temps Qual i t Cots
Audit

Cohrence des
risques identifis
Cohrence de
l'apprciation
des risques

Rfrenti el s et outi l s
L'approche d'audit 2. Identification des risques
Cohrence de Cohrence de
l'identification et de l'identification et de
l'apprciation l'apprciation
des risques des risques
Normes assurance qual i t
(I SO, PRI NCE2 , I TI L, . . . )
Normes de scuri t
(I SO 27001 , I Tsec, . . . )
Normes d' audi t
(NAS, COBI T, COSO, . . . )
Normes, rfrenti el s mti er

Rfrenti el s et outi l s: COBI T
L'approche d'audit 2. Identification des risques

Vue gl obal e du rfrenti el
L'approche d'audit 2. Identification des risques COBIT
Rf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
r 4 domai nes
Pl anni ng & Organi sati on
Acqui si ti on & I mpl ementati on
Del i very & Support
Moni tor & Eval uate
r 34 Macro-processus
PO-1 0 Manage Proj et

Processus PO 1 0 Manage proj ects (1 /3)
Rf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
L'approche d'audit 2. Identification des risques COBIT
Processus
Obj ecti fs busi ness
Obj ecti fs I T
Obj ecti fs de contrl es
Mtri ques et i ndi cateurs

Processus PO 1 0 Manage proj ects (2/3)
r 0 Non-existent
Proj ect management techni ques are not used and the
organi sati on does not consi der busi ness i mpacts associ ated
wi th proj ect mi smanagement and devel opment proj ect
fai l ures.
r . . .
r 5 Optimised
A proven, ful l l i fe cycl e proj ect and programme methodol ogy
i s i mpl emented, enforced and i ntegrated i nto the cul ture of
the enti re organi sati on. An ongoi ng i ni ti ati ve to i denti fy and
i nsti tuti onal i se best proj ect management practi ces has been
i mpl emented. An . . .
Rf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
L'approche d'audit 2. Identification des risques COBIT

Processus PO 1 0 Manage proj ects (3/3)
Rf. Recommandati ons l gard des responsabl es de proj et i nformati que, Contrl e Fdral e des Fi nances)
L'approche d'audit 2. Identification des risques COBIT

3. I denti fi cati on des contrl es
L'approche d'audit
RI SQUE

Contrl e prventi f
Contrl e dtecti f
Contrl e correcti f
Systme de contrle interne - SCI

Contrl e prventi f
r PREVENTIF
Pol i ti ques, di recti ves, standards
Formati on
Sensi bi l i sati on
Sgrgati on des tches
Logi ci el de contrl e d' accs
. . .

r Dtecte les problmes avant qu'ils surviennent

r Prvient les erreurs, les omissions, les actes malicieux
r ...
L'approche d'audit 3. Identification des contrles

Contrl e dtecti f
r DETECTIF
Contrl e de totaux, reconci l i ati ons
Messages d' erreur
Rapport
I ndi cateurs de tabl eau de bord
. . .
r Dtecte et reporte le problme, tels que les erreurs, les
omissions, les actes malicieux
r ...
L'approche d'audit 3. Identification des contrles

Contrl e correcti f
r CORRECTIF
Pl an de conti nui t
Procdure de backup
Procdure de re-run
. . .
r Rduit l'impact de la menace
r Corrige les erreurs dcouvertes par les contrles dtectifs
r Modifie le droulement oprationnel afin de rduite le nombre
d'occurences futures d'un problme
r ...
L'approche d'audit 3. Identification des contrles

Caractri sti que du contrl e
r I denti fi er l e contrl e et comprendre son foncti onnement
Desi gn
Poi nt de foncti onnement

dans l e temps,

tape de l a procdure,

. . .
Effi caci t
r Habi tuel l ement, au mi ni mum 2 contrl es pour couvri r
adquatement un ri sque
L'approche d'audit 3. Identification des contrles

Apprci ati on des contrl es
r Tests de conformi t du
contrl e
Dtermi ne si l es contrl es
i nternes sont appl i qus
dans l a mani re dcri te
dans l a documentati ons et
en accord avec l es
i ntenti ons du
management
Teste l e processus
L'approche d'audit 3. Identification des contrles
r Tests de val i dati on du
contrl e
Confi rme l 'i ntgri t du
rsul tat sur l a base du
foncti onnement rel du
contrl e
Teste l a val eur

Apprci ati on des contrl es: Tests
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE

INPUT
OUTPUT
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE

INPUT
OUTPUT
TESTS DE CONFORMITE TESTS DE VALIDATION
L'approche d'audit 3. Identification des contrles

Ni veau de contrl e
Contrles Risque

L'approche d'audit 3. Identification des contrles

Communi cati on des rsul tats
L'approche d'audit
Comprendre
l ' envi ronnement
ri sques?
control es?
effi caces?
Tests de
conformi t
Tests de
val i dati on
Communi quer
Rapporter
non
oui
oui
non
non
oui
Plus de tests
Moins de tests

Communi cati on
Rf. Normes d'Audi t Sui sse, di ti on 2004, Chambre fi duci ai re sui sse

Communi cati on
r Communi quer
Constats et recommandati ons (i mportance et pri ori es
r

Co_oti nBanda n nI on q ri es rDDDDDDDDDDDDDDDDDD r

Sui vi des constatati ons
r S' assurer de l a mi se en
oeuvre des recommandati ons
sel on l es dl ai s convenus
L'approche d'audit
PLAN
PLAN
DO
DO
CHECK
CHECK
ACT
ACT

Conclusion

Concl usi on
r Pour l e chef de proj et, l ' audi t permet de
S' assurer de l a bonne couverture de l a gesti on des ri sques
S' assurer de l a bonne apprci ati on des ri sques du proj et
Val i der l e desi gn et l ' effi caci t des contrl es mi s en pl ace
pour l e pi l otage du proj et
I denti fi er l es fai bl esses ventuel l es
Obteni r une nouvel l e vi si on du proj et (consei l / advi sory)
Di scuter / changer avec un spci al i ste i ndpendant
. . .

Merci pour votre attention
Marc Barbezat
Email: marc. barbezat@b3b. ch
Site: http: //www. b3b. ch/
Blog: http: //bl og. b3b. ch/

Rfrences uti l es
r Recommandati ons des contrl es des fi nances l gard des proj ets i nformati ques
http: //www. i saca. ch/fi l es/Novena_V2_f. pdf
r Normes d' Audi t Sui sse, Chambre fi duci ai re
http: //www. treuhand-kammer. ch/pi x/fi l es/neu_ps_fr1 . pdf
r Formati on CI SA en Sui sse Romande
http: //www. i sei g. ch/cours/aff_cnnx. php?cnnx_nRef=97&cnnx_nLi en=2
r I SACA, I nformati on Systems Audi t and Control Associ ati on
http: //www. i saca. ch/ , http: //www. i saca. org/
r Banque Cantonal e Vaudoi se
http: //www. bcv. ch/
r Wi ki pedi a, L encycl opdi e l i bre
http: //www. wi ki pedi a. org/