Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 7: Particularités de l audit en situation d outsourcing et audit de projet informatique Emanuel Campos séance 7 25 mai 2015
Important! Oral 29-30 juin et 1 er juillet q 15 minutes de préparation (documentation autorisée) q 15 minutes de présentation: 1 question générale sur ce qu est l audit informatique 1 question spécifique sur un cas MCCF 2015 E. Campos séance 7 2
Agenda Présentation q Particularités de l audit en situation d outsourcing et audit de projet informatique Audit de l outsourcing Audit de projet Clôture du cours Référence: q Outsourcing : MSA tome II chapitre 3.12.4 q Outsourcing : Cobit DS2 q Audit de projets : Cobit PO10 q Audit de projets CNCC: p55 ss MCCF 2015 E. Campos séance 7 3
Les présentations personnelles (suite) Un sujet est traité pendant 15 minutes par un groupe de 4 personnes Si la note de l oral final est moins bonne, la présentation comptera pour 1/2 de la note finale 26 mai 2015 Particularités de l audit en situation d outsourcing et audit de projet informatique Votre client a outsourcé les salaires et introduit des contrôles programmés afin d'être conforme à ses obligations. 1. Quel audit faut-il faire pour s'assurer que tout est conforme? 2. Sur quels aspects faut-il faire particulièrement attention? 3. A quels nouveaux risques s expose votre client? 4. A quels nouveaux risques êtes vous exposé et tant qu auditeur? MCCF 2015 E. Campos séance 7 4
Agenda Présentation q Particularités de l audit en situation d outsourcing et audit de projet informatique Audit de l outsourcing Audit de projet Clôture du cours Référence: q Outsourcing : MSA tome II chapitre 3.12.4 q Outsourcing : Cobit DS2 q Audit de projets : Cobit PO10 q Audit de projets CNCC: p55 ss MCCF 2015 E. Campos séance 7 5
Audit en situation d outsourcing Domaine en croissance De moins en moins contrôlable et contrôlé Enjeux techniques (erreurs) mais également stratégiques (dépendances) MCCF 2015 E. Campos séance 7 6
«Outsourcing» ou l externalisation Entreprise A Délégataire Périmètre de l audit MCCF 2015 E. Campos séance 7 7
Les problèmes sont-ils identiques? Application service provider services de saisie de masse Paramètres d application catalogue tarifs services de mailing Données de flux Inputs: prestations application facturation Outputs: factures Données de base: client MCCF 2015 E. Campos séance 7 8
Les problèmes sont-ils identiques? outsourcing de la facturation et de l encaissement outsourcing de la maintenance du réseau processus métiers outsourcing de l archivage outsourcing du recrutement de personnel outsourcing de l audit interne applications informatiques ressources informatiques MCCF 2015 E. Campos séance 7 9
Audit des nouvelles technologies Cloud Computing MCCF 2015 E. Campos séance 7 10
Comprendre le «Cloud-Computing» Le Cloud-computing est équivalent à de l outsourcing IT Rentabilité Indépendance Qualité Satisfaction Operational Audit Financial Audit Compliance Audit Régularité comptable Confidentialité Archivage Disponibilité en Suisse MCCF 2015 E. Campos séance 7 11
Démarche simplifié pour se doter d une prestation outsourcing entreprise Make or buy? Cahier des charges, les exigences Appel d offre évaluation Offre du prestataire it contrat Outsourcingmanager MCCF 2015 E. Campos séance 7 12
Histoires vrai de l outsourcing MCCF 2015 E. Campos séance 7 13
La vie de la prestation outsourcing Entreprise Prestataire IT Surveiller le prestataire paiement Adapter scénario de sortie Chercher des alternatives Analyse des risques Conformité à la stratégie? Prix de la prestation ok? Compatibilité? Contrôle de la facture Contract management facture prestation MCCF 2015 E. Campos séance 7 14
Audit et Outsourcing Ce que vous pouvez maitriser Les questions auxquelles vous pouvez trouver une reponse Pourquoi externaliser? Pourquoi cette prestation? Quelles sont les exigences? Pourquoi ce prestataire? Pourquoi ce prix? Avec les questions complémentaires: Qui gère cette externalisation dans l entreprise? Quand devrons-nous y renoncer? Comment pourrons-nous y renoncer? MCCF 2015 E. Campos séance 7 15
Audit et Outsourcing... et ce qui sera maitrisé pour vous Les questions auxquelles une entité tierce repondra pour vous Le prestataire IT est-il fiable? Remplit-il les exigences? Avec les questions complémentaires: Est-il certifié? Que couvre exactement cette certification? Existe-t-il un rapport d audit? Qu atteste exactement ce rapport? Pouvons-nous poser des questions supplémentaires? Pouvons-nous auditer nous-mêmes chez ce prestataire? MCCF 2015 E. Campos séance 7 16
Les normes pour l audit du outsourcing q ISAE 3402 (anciennement SAS70) q NAS 402 Type A Rapport sur l'adéquation de la conception Type B Rapport sur l'adéquation de la conception et sur l'efficacité du fonctionnement q Circulaire Finma 2008/7 Cadre de ce qui est attesté L ampleur des travaux à effectuer Défini le risque que l auditeur prend MCCF 2015 E. Campos séance 7 17
Coordination des 4 intervenants Démarche théorique pour un audit outsourcing Société ABC A F B E Délégataire C D A L auditeur de la société ABC détermine les domaines pour lesquels il a besoin d une assurance d audit (assertions significatives). Elle fait une demande de rapport type NAS 402 à la société ABC B La société ABC transmet la demande à son délégataire C Le délégataire précise la mission à son auditeur. Auditeur de la Société ABC Auditeur du Délégataire D L auditeur conduit sa mission et remet le rapport NAS 402 au délégataire E qui le remet à la société ABC F qui le remet à l auditeur de la société ABC MCCF 2015 E. Campos séance 7 18
Coordination des 4 intervenants La réalité pour un audit outsourcing F Société ABC A C D E J Auditeur de la la la la Société ABC A I Délégataire B H A G Auditeur du Délégataire A «En fonction des services offerts», le délégataire donne mission à son auditeur de faire un audit selon la NAS 402 B L auditeur conduit sa mission et remet le rapport NAS 402 au délégataire C qui le remet à la société ABC D qui le remet à l auditeur de la société ABC E L auditeur de la société ABC émet des demandes supplémentaires F que la société ABC transmet à son délégataire. G que le délégataire transmet à son auditeur H-I-J eventuel retour d information MCCF 2015 E. Campos séance 7 19
Agenda Présentation q Particularités de l audit en situation d outsourcing et audit de projet informatique Audit de l outsourcing Audit de projet Clôture du cours Référence: q Outsourcing : MSA tome II chapitre 3.12.4 q Outsourcing : Cobit DS2 q Audit de projets : Cobit PO10 q Audit de projets CNCC: p55 ss MCCF 2015 E. Campos séance 7 20
Audit des projets informatiques Objectifs: q Analyser la gestion des projets informatique et déterminer leur impact sur le risque inhérent q Apprécier l impact en terme d investissement d impact sur le SCI d impact sur le système comptable MCCF 2015 E. Campos séance 7 21
Audit des projets informatiques Systématique des risques importants pour le contrôle Risque d audit Risque d erreurs Risque de non-détection Risque inhérent Risque lié au contrôle Risque d entreprise MCCF 2015 E. Campos séance 7 22
Approche d audit selon le MSA 2009 MCCF 2015 E. Campos séance 7 23
Audit des projets informatiques Travaux à réaliser q Processus adéquat de gestion de projet Exitence d une équipe de projet Découpage des projets en phase Respect et mise en œuvre de chaque phase Planification de chaque phase q Vérifier l existence d une documentation q Degré d implication de la direction MCCF 2015 E. Campos séance 7 24
Audit des projets informatiques Contrôles informatiques généraux: Gestion de projet informatique DEFINITIONS DES BESOINS ETUDE DE FAISABILITE Developpement Programmation Tests IT User acceptance Testing RECETTAGE IMPLEMENTATION Achat du logiciel Modification - Paramétrisation REVUE POST-IMPLEMENTATION CONDUITE DE PROJET: Gouvernance(Direc tion de projet- équipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) MCCF 2015 E. Campos séance 7 25
Audit des projets informatiques Equipe de projet CONDUITE DE PROJET: Incidence sur le risque inhérent Gouvernance(Dire ction de projetéquipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) MCCF 2015 E. Campos séance 7 Faible La direction a désigné un chef de projet, une équipe de projet. Le temps alloué au projet est défini Modéré Elevé Un chef de projet et une équipe sont désignés mais leur emploi du temps n a pas été modifié en conséquence Aucune équipe n a été désignée. Plusieurs responsables sont concernés par le projet sans qu il y ait un véritable chef de projet Risque de dépassement des délais Risque de dépassement des délais et des budgets 26
Audit des projets informatiques CONDUITE DE PROJET: Gouvernance(Direc tion de projet- équipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) Faible Le projet est découpé en tâches et sous-tâches (cahier des charges, spécifications, réalisation, recette, déploiement). Des points intermédiairessont fixés, des réunions d avancement ont lieu avec régularité. Découpage du projet en phases Incidence sur le risque inhérent Modéré Les phases de conception (cahier des charges / spécifications) sont réduites au profit de la phase de réalisation. Risque que le projet ne soit pas adapté aux besoins. Risque de dépassement des délais et des budgets Elevé Le projet est découpé en phase trop longues, aucun point d avancement n est effectué entre ces étapes. Risque de retard de calendrier dans les tâches intermédiaires Risque de dépassement des délais et des budgets MCCF 2015 E. Campos séance 7 27
Audit des projets informatiques CONDUITE DE PROJET: Gouvernance(Direc tion de projet- équipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) MCCF 2015 E. Campos séance 7 28
Audit des projets informatiques CONDUITE DE PROJET: Gouvernance(Direc tion de projet- équipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) Gestion du changement Problème majeurs dans tous les projets : l humain! MCCF 2015 E. Campos séance 7 29
MCCF 2015 E. Campos séance 7 30
Audit des projets informatiques CONDUITE DE PROJET: Gouvernance(Direc tion de projet- équipe de projet) Suivi du planning Suivi du budget Suivi qualité Gestion du changement (communication, formation, ) Gestion du changement 8 étapes pour réussir le changement PLANTER LE DÉCOR 1. Créer le sentiment d urgence 2. Réunir l équipe de pilotage DECIDER QUOI FAIRE 3. Développer la vision et la stratégie de changement ENCLENCHER LE MOUVEMENT 4. Communiquer pour faire comprendre et adhérer 5. Donner aux autres le pouvoir d agir 6. Produire des victoires à court terme 7. Persévérer PÉRENNISER 8. Créer une nouvelle culture MCCF 2015 E. Campos séance 7 31
Auditer un projet selon un cadre précis Exemple «Une application de e-voting est mise en place.» Comment avoir la certitude du bien fondé des résultats? formuler un risque pour chaque critère Cobit comment auditer ce risque? è Les conclusions servent a confirmer votre assertion de fond MCCF 2015 E. Campos séance 7 32
Objectifs d audit selon un cadre précis PO10.1 Programme Management Framework PO10.2 Project Management Framework PO10.3 Project Management Approach PO10.4 Stakeholder Commitment PO10.5 Project Scope Statement PO10.6 Project Phase Initiation PO10.7 Integrated Project Plan PO10.8 Project Resources PO10.9 Project Risk Management PO10.10 Project Quality Plan PO10.11 Project Change Control PO10.12 Project Planning of Assurance Methods PO10.13 Project Performance Measurement, Reporting and Monitoring PO10.14 Project Closure MCCF 2015 E. Campos séance 7 33
Quelques enseignements Tirés d audits des Contrôles des Finances MCCF 2015 E. Campos séance 7 34
Agenda Présentation q Particularités de l audit en situation d outsourcing et audit de projet informatique Audit de l outsourcing Audit de projet Clôture du cours Référence: q Outsourcing : MSA tome II chapitre 3.12.4 q Outsourcing : Cobit DS2 q Audit de projets : Cobit PO10 q Audit de projets CNCC: p55 ss MCCF 2015 E. Campos séance 7 35