Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audit des projets SI Cette série de guides, rédigés dans des termes simples et

Audit des projets SI Cette série de guides, rédigés dans des termes simples et traitant chacun d’un thème d’actualité concernant la gestion, le contrôle et la sécurité des SI, constitue un précieux outil pour les responsables de l’audit interne, qui peuvent ainsi s’informer sur les différents risques associés aux technologies de l’information et sur les pratiques recommandées. Les contrôles des systèmes de l’informa- tion Les sujets abordés passent en revue les concepts du contrôle des SI, l’importance de ces contrôles, les rôles et responsabilités dans l’organisation susceptibles d'assurer l’efficacité du contrôle des SI et des tech- niques de supervision. Contrôles de la gestion du changement et des patchs : un facteur clé de la réus- site pour toute organisation Décrit les sources de changements et leurs impacts probables sur les objectifs de l’en- treprise, explique en quoi le contrôle du processus de gestion des changements participe à la réduction des risques et des coûts des SI, et indique ce qui, dans la pratique, fonctionne ou pas. Audit continu : Répercussions sur l’assu- rance, le pilotage et l’évaluation des risques Traite du rôle de l’audit continu dans l’envi- ronnement actuel d’audit interne, de la rela- tion entre audit continu, surveillance continue et assurance continue, précise où s’applique l’audit continu et examine la mise en place de l’audit continu. Management de l’audit des systèmes d’information Définit les risques liés aux SI et l’univers d’audit, explique comment conduire un audit des SI et gérer les ressources d’audit. Le management et l’audit des risques d’atteinte à la vie privée Présente les principes et le cadre de protec- tion de la vie privée, un modèle de risques d’atteinte à la vie privée et le contrôle du respect de la vie privée, le rôle de l’audit interne, les dix questions à se poser concer- nant la protection de la vie privée lors de la mission d’audit, et bien plus encore. Gérer et auditer les vulnérabilités des technologies de l’information Analyse, entre autres, le cycle de gestion des vulnérabilités, la délimitation de l’audit des vulnérabilités et des indicateurs qui permet- tent d’évaluer les pratiques de gestion des vulnérabilités. L’infogérance Examine comment choisir le bon prestataire de services d’infogérance et présente les principaux éléments à prendre en compte pour la maîtrise de l’infogérance, du point de vue des activités du client et de celles du prestataire de services. Audit des contrôles applicatifs Définit la notion de contrôles applicatifs et les compare aux contrôles généraux informa- tiques, et indique comment déterminer l’étendue des revues de contrôles applicatifs. Gestion des identités et des accès Couvre les principaux concepts relatifs à la gestion des identités et des accès, les risques y afférents, détaille l’audit du programme de gestion des identités et des accès et présente un exemple de liste de contrôles à l’intention des auditeurs. Gestion de la continuité d’activité Définit la continuité d’activité, examine les risques pour l’entreprise et propose une analyse détaillée des impératifs associés au programme de continuité d’activité Élaboration d’un plan d’audit des SI Explique pas à pas la manière d’élaborer un plan d’audit des SI : de la compréhension de l’activité, la définition de l’univers d’audit des SI et l’évaluation des risques jusqu’à la formalisation du plan d’audit des SI. Les contrôles des systèmes de l’information GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Contrôles de la gestion du changement et des patchs : Un facteur clé de la réussite pour toute organisation GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Audit continu : Répercussions sur l’assurance, le pilotage et l’évaluation des risques GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Management de l’audit des systèmes d’information GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Le management et l’audit des risques d’atteinte à la vie privée GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Gérer et auditer les vulnérabilités des technologies de l’information GUIDE PRATIQUE D·AUDIT DES TECHNOLOGIES DE L·INFORMATION GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION L'infogérance Audit des contrôles applicatifs GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Gestion des identités et des accès Si vous souhaitez de plus amples informations et ressources sur l’audit des technologies de l’information, veuillez vous rendre sur le site Web de l’IIA : www.theiia.org/technology. Copyright © 2009 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, États-Unis. Tous droits réservés. Imprimé aux États-Unis. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre), sans l’autorisation préalablede l’éditeur. L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des infor- mations, mais ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comptables, il convient de recourir à l’assistance de professionnels. Audit des projets SI Auteurs Karine Wegrzynowicz, Lafarge SA Steven Stein, Hewlett-Packard Mars 2009 GTAG – Table des matières 1. RÉSUMÉ .................................................................................................................................................... 2 2. INTRODUCTION .................................................................................................................................... 4 2.1 Qu’appelle-t-on exactement « projet SI » ?...................................................................................... 4 2.2 Comprendre les répercussions........................................................................................................... 4 2.3 Quelques exemples de projets SI non aboutis.................................................................................. 4 2.4 Statistiques historiques sur la réussite et l’échec des projets SI ...................................................... 5 2.5 Dix facteurs clés de réussite d’un projet............................................................................................ 6 2.6 Objectifs et avantages de l’implication des auditeurs internes ....................................................... 6 3. CINQ THÈMES CENTRAUX DANS L’AUDIT DES PROJETS ........................................................ 7 3.1 Alignement des objectifs et des SI .................................................................................................... 7 3.2 Gestion de projet ................................................................................................................................ 8 3.3 Opérationnalité des solutions SI ..................................................................................................... 12 3.4 Gestion des changements au niveau de l’organisation et des processus .................................... 13 3.5 L ’après projet (Post-implémentation) ............................................................................................. 14 4. PLANIFICATION DE L’AUDIT DE PROJET ..................................................................................... 15 4.1 Projets SI et plan annuel d’audit interne ........................................................................................ 15 4.2 Rôle de l’audit interne ...................................................................................................................... 16 4.3 T ypes d’audits de projet ................................................................................................................... 17 4.4 Remarques des auditeurs externes ................................................................................................. 18 5. CONCLUSION ....................................................................................................................................... 20 ANNEXE A : GESTION DE PROJET ............................................................................................................ 21 A.1 Méthodologies de gestion de projet ............................................................................................... 21 A.2 Cycle de vie de gestion du projet .................................................................................................... 21 ANNEXE B : PARTICIPANTS AUX PROJETS SI ........................................................................................ 22 ANNEXE C : STRUCTURE, RÔLES ET RESPONSABILITÉS DES INSTANCES DE PILOTAGE DE PROJET ............................................................................................................................ 23 Sommaire GTAG – Table des matières ANNEXE D : MODÈLES DE MATURITÉ .................................................................................................... 24 D.1 Modèle de maturité des capacités ................................................................................................... 24 D.2 Modèles de maturité de la gestion de projet .................................................................................. 24 D.3 Modèles de maturité du développement de systèmes .................................................................. 24 ANNEXE E – BONNES PRATIQUES GÉNÉRALES DE GESTION DE PROJET ................................ 25 E.1 PMBOK et PRINCE2 ....................................................................................................................... 25 E.2 Normes de l’ISO ............................................................................................................................... 25 E.3 Sections du référentiel CobiT applicables à la gestion de projet .................................................. 26 E.4 VAL IT ............................................................................................................................................... 26 ANNEXE F – POINTS À VÉRIFIER LORS DE LA REVUE DES PROJETS SI PAR LES AUDITEURS INTERNES ............................................................................................................... 27 À PROPOS DES AUTEURS ............................................................................................................................ 41 Sommaire (suite) 1 Lettre du Président de l’IIA Comme la plupart des auditeurs internes de ma génération, j’ai été le témoin privilégié de l’évolution remarquable des technologies. Dans les années 1970, frais émoulu de l’université, l’outil technologique le plus complexe auquel j’avais régulièrement affaire était une calculatrice à dix touches. Aujourd’hui, nous vivons et travaillons dans un monde bien différent. Grâce aux progrès incessants des systèmes d’information depuis que j’ai intégré le monde du travail, les technolo- gies sont désormais omniprésentes dans tout ce qui nous entoure. Quel que soit le secteur ou l’entreprise considéré, elles jouent un rôle majeur dans la compétitivité, la gestion des risques et la réalisation des objectifs de l’entreprise ; et les orga- nisations du monde entier allouent des ressources considérables à des projets SI vitaux. Qu’ils soient développés en interne ou en collaboration avec des prestataires externes, les projets SI comportent des difficultés dont il faut tenir compte pour garantir leur succès. Un contenu et des objectifs mal définis, l’absence de soutien de la direction, une implication insuffisante des utilisateurs, des choix technologiques erronés ou inadaptés, une mauvaise connaissance de l’évolution des technologies peuvent avoir des conséquences fâcheuses. Si l’on accorde trop peu d’at- tention à ces problèmes ou aux difficultés techniques, on aboutira à un gaspillage d’argent et de ressources, à une perte de confiance et à entacher la réputation ; autant de risques énormes et inacceptables. L ’une des caractéristiques inhérentes aux systèmes d’information est leur transversalité. Ils doivent impliquer des personnes et des processus à tous les niveaux de l’organisation. Et parce que les auditeurs internes ont une perspective et un positionnement unique au sein de l’organisation, leur participation en amont peut aider à atteindre les résultats fixés, avec tous les avantages que cela entraîne. Ils peuvent servir de relais entre les différentes directions métiers et la DSI, remonter des risques qui n’avaient pas encore été identifiés et recommander des contrôles pour améliorer les résul- tats. Pour toutes ces raisons, j’accueille avec un grand plaisir la publication du nouveau GTAG de l’IIA, Audit des projets SI. Ce uploads/Management/ audit-des-projets-si-pdf.pdf