Recommandations des contrôles des finances à l égard des projets informatiques

Documents pareils
C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Panorama général des normes et outils d audit. François VERGEZ AFAI

COBIT (v4.1) INTRODUCTION COBIT

Etat. factures. portail. res. dématérialiser EDI. fournisseurs. Etat EDI CO2. Dématérialisation des factures. portail. fiabilité.

Archivage électronique

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Sage 50 Gestion commerciale Logiciel PME performant pour une gestion commerciale efficace.

Logiciel PME performant pour une gestion commerciale efficace.

THEORIE ET CAS PRATIQUES

DEMANDE D INFORMATION RFI (Request for information)

Directives sur la gestion des dossiers dans les domaines AVS/AI/APG/PC/AfamAgr/Afam (DGD)

Identification du module

CHARGÉ(E) DE SÉCURITÉ (60 % - 80 %)

Sage 50 Gestion commerciale Logiciel PME performant pour une gestion commerciale efficace.

L application doit être validée et l infrastructure informatique doit être qualifiée.

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Organisation de l exploitation de la plateforme. Prestations de l OFS dans le cadre de l utilisation de sedex

Variantes disponibles / Domaines d application

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Vector Security Consulting S.A

Charte de contrôle interne

Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle

Modernisation et gestion de portefeuilles d applications bancaires

Guide de travail pour l auto-évaluation:

Gestion budgétaire et financière

Guide d analyse des risques informatiques

VI. travail et assurances sociales

Checklist pour Services IOS

Loi fédérale sur l agrément et la surveillance des réviseurs

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

JOURNÉE THÉMATIQUE SUR LES RISQUES

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

PAS X. PAS-X Services. Competence. Implementation. Support. Vue d ensemble des services. Portfolio des services proposés

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

L assurance qualité N 4. Décembre 2014

C dc COUR DES COMPTES RAPPORT N 51 AVRIL 2012 AUDIT DE GESTION VILLE DE GENEVE GOUVERNANCE DE LA DIRECTION DES SYSTEMES

Concept d assurance de la qualité pour la formation à la pratique professionnelle au sein des écoles de commerce

Règlement interne de la Société suisse de crédit hôtelier

Solution logicielle IDEA

cofi 1 fiduciaire-internet (présaisie) Testez Cofi 1 sur

Retraite. Date de la retraite

Systèmes et réseaux d information et de communication

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Loi fédérale sur l agrément et la surveillance des réviseurs

Les assurances sociales en Suisse

Caisse de pension et propriété du logement/

Cahier des charges du secrétaire municipal et administrateur des finances municipales (les définitions personnelles se rapportent aux deux sexes)

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

Stratégie IT : au cœur des enjeux de l entreprise

Le partenaire des directions financières

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

Nouveauté à découvrir pour la suisse: Dolibarr, le logiciel ERP/CRM compact accessible aux PME

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Dossier d'étude technique

Informatikerin EFZ / Informatiker EFZ Informaticienne CFC / Informaticien CFC Informatica AFC / Informatico AFC

Charte d audit du groupe Dexia

Intégrer la gestion des actifs informatiques et le Service Management

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Rapport du Président du Conseil d'administration

CRM et GRC, la gestion de la relation client R A LLER PL US L OI

ITSMby Diademys. Business plan. Présentation

Gestion des salaires éprouvé pour PME suisses.

Rapport : Sur mandat de Promotion Santé Suisse Avenue de la Gare 52, 1003 Lausanne

Wini2 Salaire GÉREZ RAPIDEMENT ET FACILEMENT LE SUIVI DES SALAIRES ET DU PERSONNEL

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Les contrats informatiques Qualification juridique et typologie

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS

Pré-requis Diplôme Foundation Certificate in IT Service Management.

L'AUDIT DES SYSTEMES D'INFORMATION

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

la Facture électronique mes premiers pas

Maîtriser les mutations

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

la Facture électronique mes premiers pas

Charte de l'audit informatique du Groupe

CONVENTION ASSURANCE QUALITÉ (QAA) FONCTION NÉGOCIANT

CIRCULAIRE AUX ETABLISSEMENTS DE CREDIT N Objet : Renforcement des règles de bonne gouvernance dans les établissements de crédit.

Software Asset Management Savoir optimiser vos coûts licensing

Table des matières. Partie I CobiT et la gouvernance TI

Stratégie nationale pour la protection des infrastructures critiques

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Identification, évaluation et gestion des incidents

Brevet fédéral. Examen final à blanc. Informaticien-ne - Tronc commun. Version 1.1.0

III.2 Rapport du Président du Conseil

L AUDIT INTERNE DES COMPAGNIES D ASSURANCES. TRANSVERS CONSULTING L'audit des compagnies d'assurances

ITIL v3. La clé d une gestion réussie des services informatiques

Assurances selon la LAMal

Rapport final sur les priorités en matière de surveillance de la médecine

Résumé abrégé. des applications de. Tribut TAX et TAXEasy

Outil 5 : Exemple de guide d évaluation des auditeurs internes

CONDITIONS GENERALES 1. GÉNÉRALITÉS ET DEFINITIONS

HERMES 5.1. Méthode de gestion pour tous les projets MANUEL DE REFERENCE

Caisse (de pension) autonome Caisse autogérée (institution possédant sa propre organisation et sa propre administration).

Avis n sur la méthodologie relative aux comptes combinés METHODOLOGIE RELATIVE AUX COMPTES COMBINES

RAPPORT D AUDIT INTERNE

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Administration de systèmes

Transcription:

Recommandations des contrôles des finances à l égard des projets informatiques Groupe de travail IT Government Audit Le groupe rassemble les auditeurs informatiques des administrations publiques suisses Contact: info@efk.admin.ch V.2.0

Pourquoi cette brochure? Les responsables de projet sont soumis à de nombreuses contraintes et doivent conduire leurs projets au succès dans des conditions parfois difficiles. L intervention d un auditeur constitue un défi supplémentaire souvent perçu comme une inutile chicane par les responsables. Les Contrôles des finances estiment important de communiquer de manière ouverte et conséquente avec les responsables de projet. Cette brochure est là pour répondre à des questions qui sont fréquemment posées aux auditeurs. Elle contient également des informations intéressantes pour les décideurs, les responsables informatiques ou les personnes chargées de l assurance-qualité. L objectif est notamment de déterminer la liste des documents les plus importants pour un auditeur et de définir les questions auxquelles ils doivent répondre. Cette brochure se concentre sur la phase de projet qui constitue un passage important de la vie d une application. Il existe en Suisse différentes méthodes de développement (y compris celles qui sont proposées par certains fournisseurs) et la terminologie peut varier de l une à l autre. Cette brochure se concentre sur le contenu des documents et vous fournit les références à ces différentes méthodes. Votre contrôle des finances (communal, cantonal ou fédéral) est à disposition si vous avez des questions complémentaires. Les objectifs à atteindre Malgré la diversité des législations communales, cantonales et fédérale, les objectifs à atteindre par les projets informatiques sont les mêmes partout. Ces objectifs découlent: du principe supérieur de la bonne gestion des crédits accordés (principes d efficacité et d efficience), du principe de légalité (conformité) et du principe de la tenue régulière de la comptabilité (principes d intégrité, de disponibilité et de fiabilité). Ces principes recouvrent entièrement les notions classiques de sécurité et de qualité du traitement de l information. Le modèle de référence CobiT (www.isaca.org) est souvent utilisé par les auditeurs, en particulier lorsqu il s agit d auditer les contrôles généraux dans le domaine informatique. CobiT retient 7 critères correspondant à ces objectifs.

Rappel: Quels sont les objectifs à atteindre? efficacité efficience Atteinte des objectifs fixés initialement Utilisation optimale des ressources conformité Respect des lois, réglementations et clauses contractuelles intégrité confidentialité disponibilité Exactitude, validité et intégralité des informations Protection contre toute divulgation non autorisée Disponibilité des systèmes, des ressources et des données fiabilité Mise à disposition d informations fiables Les documents-clés La méthode «Hermes» (www.hermes.admin.ch) définit près d une centaine de documents qui devraient être élaborés durant la vie d un projet informatique. Pour un auditeur, une dizaine d entre eux sont indispensables, et ce quelle que soit la méthode de développement adoptée (y compris les nouvelles méthodes dites «agiles»!). Les recommandations se concentrent sur les documents produits par le projet Les exigences formelles à leur égard sont cependant élevées: documents Ils doivent être validés et signés. Ils doivent être disponibles à un moment précis du projet (une étude de faisabilité intervenant après la phase de concept n a plus d utilité) Pour certains d entre eux, ils doivent être tenus à jour non seulement durant tout le projet mais après le passage en production jusqu au démantèlement final de l application (l architecture du système ou le concept du système de controlle interne par exemple) gestion du projet, méthodologie, etc...

Les 10 documents-clé de la vie d un projet efficacité efficience conformité intégrité confidentialité disponibilité Étude de faisabilité 1 Cahier des charges 2 Analyse rentabilité Intégration Exigences 3 4 5 Concept SCI (accès, contrôles, archivage, Plan secours, etc.) 6 Tests (plan de test et documentation) 8 9 Acceptation finale par les utilisateurs Bilan final 10 fiabilité Architecture système 7 Communication des dix documents-clé Le Contrôle des finances souhaite-il recevoir une copie de chacun de ces documents? En principe non, il les consultera le cas échéant à l occasion d un audit du projet ou de la future application. Il est en revanche essentiel que le Contrôle des finances ait connaissance de l existence de chaque projet informatique d importance*, raison pour laquelle: tous les «mandats de projets» doivent lui être transmis systématiquement et spontanément, un inventaire toujours actualisé des projets en cours doit être tenu à sa disposition. * les directives communales, cantonales et fédérales respectives définissent ce qui doit être compris comme un «projet informatique d importance» Les liens vers les principales sources citées Hermes SE/DS (édition 2003), Hermes SA/AS (édition 2005), http://www.hermes.admin.ch Ordonnance concernant la tenue et la conservation des livres de comptes (Olico, RS 221.431) http://www.bk.admin.ch/ch/f/rs/221_431/index.html CobiT Version 4.0, http://www.isaca.ch Manuel suisse d audit (MSA) et normes de la Chambre Fiduciaire suisse http://www.treuhand-kammer.ch PRINCE 2 www.ogc.gov.uk/prince

1. Etude de faisabilité Quels sont les objectifs du système? Quelles sont les solutions envisageables? Recenser et analyser les exigences envers le système Elaborer des propositions de solution (variantes) Comparer les coûts, les risques et les avantages de ces variantes Quelles sont les exigences envers le projet et l organisation? Le projet est-il réalisable? Le projet peut-il passer à la phase de conception (mandat de projet)? Service utilisateur (appuyé par le Service informatique pour les questions techniques) Hermes : Chap. 3.3 (SE et SA) POSAT ZH : Ablaufschritt 2 CobiT 4.0 : AI 1.3 PRINCE 2 : Processus SU 2. Cahier des charges Quels sont les objectifs à atteindre? Quelles sont les attentes des utilisateurs? Quelles sont les fonctionnalités? Quels sont les volumes à traiter? Quelles sont les contraintes à respecter? Quels sont les moyens techniques nécessaires à l atteinte de ces objectifs? Service utilisateur (appuyé par le Service informatique pour les questions techniques) Hermes : SE Chap. 5.3.47, SA Chap. 3.4.1, 5.3.50 POSAT ZH : Ablaufschritt 3 CobiT 4.0 : PO 10.5, AI 1.1 PRINCE 2 : Processus IP 3

3. Analyse de la rentabilité Quels sont les coûts complets du projet (y compris les dépenses connexes, par exemple: coût de la migration des données, augmentation de la capacité des installations, formation des utilisateurs, etc )? Comment apprécier quantitativement et qualitativement l utilité escomptée? Quelle est la rentabilité du projet? Quels sont les scénarios envisageables propres à modifier la rentabilité du projet? Service utilisateur Hermes : SE Chap. 5.3.92, SA Chap. 5.3.98 POSAT ZH : Ablaufschritt 5 CobiT 4.0 : AI 1.1, AI 1.2, AI 1.3 PRINCE 2 : Processus DP et CS 4. Intégration dans l environnement informatique Le projet s intègre-t-il harmonieusement dans la stratégie et l architecture IT de l entreprise? Le projet ne fait-il pas double-emploi avec un autre projet ou une application existante? Existe-t-il des synergies avec d autres projets? Le projet respecte-t-il les standards adoptés par l entreprise? Quelles interfaces automatiques ou manuelles sont prévues? Service informatique Hermes : SE Chap. 5.3.83, SA Chap. 5.3.31, 5.3.89 POSAT ZH : Ablaufschritt 8 CobiT 4.0 : PO 2, AI 1.3 PRINCE 2 : Processus SB 4

5. Exigences à respecter Quelles sont les exigences internes (conventions, procédures, normes de qualité)? Quelles sont les exigences externes (lois, ordonnances, directives, contrats) éventuellement spécifiques à certaines branches (protection des données, publication, procédures d achat, banques, best practices Good xxx Practice, etc.)? Quelles sont les conséquences de ces exigences en terme de procédures ou d équipements (architecture, sécurité, etc )? Service utilisateur (appuyé par le Service informatique pour les questions techniques) Hermes : SE Chap. 3.4.4, 5.3.31, 5.3.80, SA Chap. 5.3.32, 5.3.87 POSAT ZH : Ablaufschritt 1 CobiT 4.0 : PO 2, ME 3 Exemples d exigences à respecter (liste non exhaustive) Domaine du personnel Fiscales (certificat de salaire, impôt à la source, etc..) Relatives aux assurances sociales (AVS, AC, APG, etc..) Relatives à la protection des données (concept le droits d accès, déclaration le confidentialité etc.) Domaine financier Relative à la tenue des livres et à la conservation des pièces (Olico) Relatives au blanchiment Domaine de la santé Etc. Relative à la comptabilité analytique dans les hôpitaux Relative à la traçabilité des produits et médicaments Relative à la protection des données 5

6. Concept du système de contrôle interne (SCI) Quels contrôles automatisés sont-ils nécessaires (validations à la saisie, réconciliations automatiques, listes d erreurs, etc.)? Quelles séparations des fonctions sont-elles nécessaires et comment sont-elles répercutées dans la gestion des droits d accès? Quelles sont les mesures à mettre en place pour assurer la traçabilité des opérations, y compris la paramétrisation de l application? Quelles sont les mesures à prendre pour assurer la continuité de l exploitation (plan de secours) et la conservation des données (plan d archivage)? Service utilisateur (appuyé par le Service informatique pour les questions techniques) Hermes : SE Chap. 5.3.31, SA Chap. 5.3.32 POSAT ZH : Ablaufschritt 10, 11 CobiT 4.0 : PO 8, AI 1.1, AI 1.2, AI 2.2, AI 2.3, AI 2.4, DS 4, DS 5, DS 11, ME 2 PRINCE 2 : Processus SU Chambre fiduciaire : NAS 400, Chiffres 3.24233, 3.3222 ss. MSA 7. Architecture du système Comment le système informatique est-il structuré? Quelle est l architecture des informations (modèle de données)? Quelles sont les fonctionnalités du système? Comment le système s intègre-t-il dans l architecture des systèmes existants? Comment les informations interagissent-elles entre elles? Quelles sont les interfaces? Service informatique Hermes : SE Chap. 5.3.81, 5.3.82, SA Chap. 5.3.88, 5.3.89 POSAT ZH : Ablaufschritt 14 CobiT 4.0 : PO 2, AI 1.3, AI 2.1, AI 2.2, AI 2.5, AI 2.6 6

8. Tests (plan de test et documentation) Quels sont les objectifs des tests? Quels sont les tests prévus (méthodes, utilitaires, critères, cas)? Quels sont les ressources et les délais d exécution? Les corrections de dernière minute seront-elles encore testées? Comment le déroulement exact des tests et les résultats sont-ils documentés? Service informatique (et Service utilisateur) Hermes : SE Chap. 5.3.85 à 5.3.90, SA Chap. 5.3.91 à 5.3.96 POSAT ZH : Ablaufschritt 14 CobiT 4.0 : PO 8, AI 2.8, AI 3.4, AI 5.6, AI 7.2, AI 7.4, AI 7.6, AI 7.7 9. Acceptation par les utilisateurs Quelle est la portée de l acceptation? Qui sont les propriétaires des données et les responsables de l application? Qui est responsable de l acceptation? Sur quels tests se fonde cette acceptation? Quelles sont les éventuelles réserves à l acceptation? Service utilisateur Hermes : SE Chap. 3.3.6, 3.4.7, 3.5.8, 3.6.7, SA Chap. 3.3.7, 3.4.9, 3.5.11, 3.6.7 POSAT ZH : Ablaufschritt 14, 15 CobiT 4.0 : AI 3.1 à 3.3, AI 7.6, AI 7.7, PO 10.6 7

10. Bilan final Les objectifs et exigences du projet sont-ils atteints? Quels sont les coûts définitifs et les explications pour les écarts éventuels par rapport aux prévisions initiales? Quel est le calcul définitif de la rentabilité? Quels sont les risques existants après l implémentation? Quelles sont les erreurs survenues après le passage en production? Quelles sont les recommandations et mesures proposées? Quels sont les enseignements à tirer du projet? Service utilisateur Hermes : Chap. 5.3.13 (SE et SA) POSAT ZH : Ablaufschritt 16 CobiT 4.0 : PO 10.6, PO 10.13, PO 10.14, AI 7.12 Ne pas négliger le contexte du projet Un projet ne se déroule pas en vase clos. Son succès est directement influencé par le contexte dans lequel il est conduit. Au nombre des facteurs importants: la forte implication des utilisateurs dans le projet, la qualification des personnes intervenant dans le projet, le degré de standardisation de l entreprise, les systèmes d assurance-qualité et les procédures garantissant une gestion correcte des différentes versions de programme. CobiT identifie pour 34 processus informatiques standards les objectifs de contrôle à respecter pour assurer la maîtrise de l informatique. Le processus (Distribution et support 8) «Gérer le Service Desk et les incidents» traite par exemple des règles applicables au système de gestion des problèmes, à leur escalade, au suivi de leur résolution et aux pistes d audit, aux autorisations d accès temporaires ou en urgence, ainsi qu aux priorités des traitements d urgence. 8

Tenir compte des facteurs d influence externes efficacité efficience conformité intégrité confidentialité disponibilité Étude de faisabilité 1 Cahier des charges 2 Analyse rentabilité Intégration Exigences 3 4 5 Concept SCI (accès, contrôles, archivage, Plan secours, etc.) 6 Tests (plan de test et documentation) 8 9 Acceptation finale par les utilisateurs Bilan final 10 fiabilité Architecture système 7 9

et les principes de bonne gestion de projet Quelques enseignements tirés d audits communs des Contrôles des finances: La réalisation d un projet de grande ampleur n est possible qu avec du personnel travaillant à plein temps pour ce projet. Un projet important doit bénéficier d un appui politique correspondant. Il est essentiel de réorganiser et d harmoniser avant d informatiser. Raccourcir la durée du projet ou le découper en sous-projets autonomes. Eviter les technologies émergentes. L équilibre entre informaticiens et spécialistes métiers doit être adéquat. Pas trop d organes de controlling mais un vrai controlling. Identifier et évaluer le plus tôt possible les problèmes, notamment par des tests de faisabilité. Identifier correctement les fournisseurs et régler contractuellement leurs relations avec le projet. Répercuter contractuellement les éventuelles adaptations de l organisation de projet. Ne pas sous-estimer les problèmes que pose le développement en deux - voire en trois langues. En guise de conclusion La décision d intervenir dans un projet informatique appartient au Contrôle des finances. Plusieurs considérations vont guider notre choix, en particulier l appréciation des risques que présente ce projet par rapport à d autres projets comparables. Notre intervention peut prendre la forme d un examen du projet (en particulier au terme d une phase de projet) ou d une prise de position sur des questions particulières (par exemple évaluation du concept SCI avant sa mise en œuvre). N hésitez pas à nous soumettre votre problème! 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back