Audit dossier

Mener un audit externe efficace :

les apports de CobiT

Pourquoi un audit externe ? précédentes : le programme coordon-

ne plusieurs projets sur une assez
Les demandes d’audit portent princi- longue durée. Il a donc une structure
palement sur des structures, des pro- pérenne dont l’objectif majeur est de
grammes ou des projets. Selon le cas, livrer progressivement les sous-
les questions posées diffèrent, avec ensembles fournis par les projets, en
des recouvrements significatifs. assurant leur coordination technique
et leur synchronisation.
Dans le cas d’un audit de structure, le
commanditaire demande d’abord Les contraintes qui s’imposent à l’au-
une analyse des services qu’elle rend diteur externe sont néanmoins simi-
à des clients internes ou externes, laires entre les différents cas. En pre-
avec une appréciation d’une part sur mier lieu, le délai est toujours très
le périmètre (le « catalogue »), d’autre réduit, de l’ordre de quelques Bernard Mazoyer,
Directeur Général, Fontaine Consultants
part sur la qualité de service, mesurée semaines sur des périmètres parfois
ou perçue. Il souhaite ensuite vérifier très complexes, avec un grand
comment l’organisation mise en place nombre d’acteurs. En effet, l’audit est
utilise les moyens et régule les coopé- souvent motivé par une situation de
rations de la structure étudiée au sein difficulté où les décisions ne peuvent
de l’entreprise concernée et avec ses être repoussées trop longtemps.
fournisseurs. De façon plus spécifique, Même pour un audit préventif (voir
la demande inclut parfois une analyse l’encadré « Audit externe du program-
du traitement des projets prioritaires me Copernic au Ministère de l’Écono-
au sein de la structure. mie, des Finances et de l’Industrie »), le des thèmes au risque de laisser dans
commanditaire souhaite que la per- l’ombre des facteurs de risque grave.
Pour un audit d’un grand projet, la
turbation qu’il introduit soit d’une Le commanditaire recherche enfin
focalisation change radicalement et
durée limitée. L’auditeur se doit une indépendance totale de l’audit
l’audit se concentre sur l’alignement
d’étayer ses constats sur une conver- par rapport aux acteurs de la struc-
du projet avec la stratégie de l’entre-
gence de pièces et de témoignages,
prise, le pilotage, la maîtrise du budget ture, du programme ou du projet
mais il lui est demandé de collecter
et du calendrier, la qualité technique examiné.
ces éléments en perturbant au mini-
de la solution, la conduite du change-
mum l’objet d’étude ! Une autre exi- Ces variantes et ces contraintes s’ap-
ment.
gence porte sur l’exhaustivité. Même pliquent à un service d’audit interne
L’audit d’un grand programme si les questions posées sont assez comme à une équipe externe.
combine les deux types de demandes précises, l’auditeur ne peut ignorer L’appel à un audit externe, alors qu’il
existe un service interne, s’explique
Une démarche préventive souvent par la recherche d’une com-
• La revue n° 78 - Mars 2005

Copernic vise à mettre en place le compte fiscal, grâce auquel chaque contribuable aura une binaison spécifique de compé-
vision de l’ensemble de sa situation fiscale : pour un particulier, l’impôt sur le revenu, la taxe tences, qui sont nécessaires pour
d’habitation, l’ISF, etc., avec l’état des paiements effectués pour chacun et des échéances à aborder les différentes facettes du
venir ; pour une entreprise, l’impôt sur les sociétés, la TVA, etc. Le contribuable pourra ainsi
sujet : la compréhension du métier
consulter et saisir les pièces de son dossier via de nombreux canaux (guichet, téléphone,
Internet, etc.). Pour le Système d’Information de l’administration fiscale, c’est une
doit s’allier à la maîtrise des enjeux
transformation profonde, puisque ces différents impôts sont aujourd’hui gérés par des d’organisation, de conduite de pro-
applications différentes, utilisées par des services différents, avec une séparation des rôles jet, d’architecture informatique, de
et des informations entre la taxation (quel est le montant de l’impôt ?) et le recouvrement transformation. La demande est
(quand et comment le règlement est-il effectué ?). d’ailleurs parfois de conduire une
démarche de coopération entre les
Audit externe du programme Copernic au Ministère de l’Économie, des Finances et de l’Industrie. auditeurs internes et externes.
9
 dossier :Audit
Le compte fiscal

fonction informatique, les auditeurs

repèrent qui fait quoi.
Le programme Copernic est un investissement considérable, de plus de 900 millions d’euros.
Il se décompose en une trentaine de projets principaux qui sont livrés progressivement, Prenons l’exemple du processus
depuis 2001 et jusqu’en 2009. Environ un millier de personnes contribuent directement à ce « Acquérir l’infrastructure technolo-
programme. Les méthodes de gestion et de coordination sont très formalisées, à hauteur de
la complexité des travaux.
gique et la maintenir », que CobiT
C’est dans ce vaste périmètre que les Directeurs Généraux (Direction Générale des Impôts et recense dans le domaine
Trésor Public) ont souhaité, par un audit externe, obtenir une évaluation indépendante de la « Acquisition et mise en place » de la
bonne utilisation des investissements qui sont engagés. L’audit demandé n’est donc pas une fonction informatique. Le projet étu-
réponse dans l’urgence à des difficultés particulières, mais une démarche préventive, pour dié a une cellule technique qui
l’identification des risques et leur élimination.
coopère avec les Achats pour réfé-
Les axes d’audit rencer et acquérir les produits
Fontaine Consultants a été retenu en 2004 pour effectuer une analyse à deux niveaux : nécessaires. L’engagement budgé-
• le premier est global au programme, il porte sur la gouvernance d’ensemble, les taire lui-même dépend de plusieurs
relations entre projets, les contributions des entités transverses ; signatures réparties dans plusieurs
• le second, plus focalisé, porte sur quelques projets complexes et critiques. directions. Les composants tech-
A chaque niveau, le cahier des charges stipulait une évaluation selon quatre axes : niques du projet doivent ensuite
• la cohérence du programme avec les choix stratégiques de la Direction Générale des
Impôts et de la Direction Générale de la Comptabilité Publique ;
être exploités par une direction de
• la qualité des différents " référents documentaires " ; l’Exploitation, qui les insère dans une
• l’organisation et le pilotage du programme ; infrastructure technique plus large.
• la synchronisation des chantiers du programme et des projets.
Ce repérage assez simple permet de
Après les travaux de 2004, la démarche mise en place prévoit un point de situation annuel prendre un recul nécessaire face à
• La revue n° 78 - Mars 2005

en 2005, puis en 2006. Lors de ces points de situation, les auditeurs auront à analyser
un symptôme global, tel que « le ser-
l’évolution du programme d’une année sur l’autre et à se pencher sur les projets en cours à
ces dates. vice manque de réactivité » : l’audi-
teur posera ensuite aux bonnes
personnes les questions clés sur
La vue large ou projet, a son organisation interne l’efficacité du processus d’acquisi-
et coopère avec d’autres entités tion, pour analyser le niveau de
Face aux exigences, contradictoires, pour remplir sa fonction. Les proces- coopération entre la cellule tech-
de délai et d’exhaustivité, le premier sus CobiT apportent ici un canevas nique et les Achats, ou encore la
enjeu pour l’auditeur externe est de de référence neutre, sur lequel on qualité des dossiers d’instruction
bien situer les acteurs au sein de l’or- peut cartographier l’organisation soumis aux signataires, leur niveau
ganisation. L’entité analysée, structure étudiée. Pour chaque processus de la de familiarité avec le dossier, etc.
10
 Audit dossier
Il est à noter que la fonction Achats l’urgence du diagnostic attendu par court et moyen terme, les points où
interviendra aussi, avec un rôle très le commanditaire, ni même avec la le processus se grippe parfois et qui
différent, pour la sélection des pres- conduite d’un entretien efficace. seront donc l’objet de l’attention de
tataires intervenant sur le projet. Ce l’auditeur.
L’équipe d’audit doit donc extraire
rôle sera repéré lorsque l’auditeur
du référentiel les questions clés. Elle Dans les études qui nous sont
passe au processus « Acquérir des
est aidée dans cet exercice par l’éta- confiées, cette maille d’analyse, plus
applications et les maintenir ».
pe de cartographie précédente, par modeste, est appropriée pour
Sur la trame du référentiel des pro- son expérience propre, mais aussi construire des guides d’entretien maî-
cessus CobiT, l’équipe d’audit dresse par un autre support du référentiel trisables et pour rechercher les infor-
ainsi la carte des unités qui inter- CobiT, le « Guide de management ». mations déterminantes dans la docu-
viennent dans le projet. Elle place le Ce dernier énonce, en une page par mentation remise aux auditeurs.
périmètre étudié, nécessairement processus, les facteurs clés de succès,
Il reste cependant un domaine où le
délimité, dans un contexte plus les indicateurs clés d’objectifs, les indi-
cadre de référence CobiT n’est pas
large. La carte obtenue fait appa- cateurs clés de performance.
l’outil d’analyse approprié : il s’agit
raître les rôles, les frontières, les Poursuivons l’exemple du processus de la gestion de projet. Ce domaine
dépendances internes et externes « Acquérir l’infrastructure technolo- relève en fait de plusieurs processus
qui seront structurantes dans la per- gique et la maintenir ». Les facteurs du référentiel CobiT : « Gérer les pro-
formance de l’entité étudiée. La liste clés de succès de ce processus, rap- jets », bien sûr, mais aussi « Evaluer
des entretiens à programmer s’al- pelés en encart, font apparaître les les risques », « Trouver des solutions
longe alors brusquement, car l’équi- dimensions de pilotage et d’exécu- informatiques », « Acquérir des
pe d’audit perçoit la « géopolitique » tion de ce processus, ses enjeux à applications et les maintenir »,
de son objet d’étude, parfois sensi-
blement différente de ce qu’expo-
sent les premiers entretiens. Processus « Acquérir l’infrastructure technologique et la maintenir »
Facteurs Clés de Succès
Dès cette étape, CobiT joue son rôle
de référentiel : la liste des processus • L’encadrement supérieur apporte • Le processus de choix privilégie
un soutien vigoureux à la méthode les composants réutilisables
est certes fastidieuse, mais l’auditeur d’acquisition et de mise en place
n’oubliera pas de fonction clé dans
• Les pratiques d’acquisition sont • Les politiques sont définies de
la complexité qu’il découvre derrière claires, comprises, et acceptées manière à gérer la dépendance
les implicites de ses interlocuteurs, vis-à-vis des fournisseurs exclusifs
qui en sont, eux, familiers. Il peut vite •L’intégration entre les différentes • Les processus et systèmes de
soupçonner que certains rôles ne plates-formes technologiques se fait gestion des changements sont
sont pas assurés, ou s’interroger sur facilement coordonnés avec le processus
d’acquisition et de mise en place
le trop grand nombre de « cas-
• L’encadrement supérieur définit et • On utilise une méthode bien
quettes » d’un acteur unique : ce der- défend une stratégie d’entreprise définie de cycle de vie pour
nier peut-il remplir correctement bien articulée avec les exigences choisir, acheter, entretenir
toutes ses attributions ? d’architecture informatique qui en et mettre hors service
découlent les composants système
Par ailleurs, l’urgence exige souvent
• On dispose d’un inventaire de • L’achat tient parfaitement
de mettre en place une équipe de l’infrastructure matérielle et compte des niveaux de
plusieurs auditeurs. Le référentiel est logicielle à jour performance et de capacité requis
la langue commune de l’équipe par les processus de gestion de
performance et la capacité
d’audit : il permet une répartition du
travail précise. La redondance entre • Les relations avec les fournisseurs
sont bien développées
les auditeurs n’est jamais nulle, mais,
• On a la capacité de définir assez • On dispose d’un ensemble d’outils
bien maîtrisée, elle devient fructueu-
• La revue n° 78 - Mars 2005

justement le coût de la redondance d’assistance automatisés

se pour affiner les constats. entre différentes plates-formes approprié, qui fait gagner du
technologiques temps dans le choix des
composants en permettant
La vue détaillée d’identifier d’emblée les plus
aboutis
Au stade des entretiens d’approfon- • On a défini des politiques qui
dissement, l’utilisation de CobiT permettent de choisir
devient beaucoup plus délicate. Le rationnellement entre le
développement interne,
« Guide d’audit » est un redoutable la mobilisation de structures
manuel de 250 pages sur deux externes, et l’externalisation
colonnes, dont le niveau de préci-
Extrait du « Guide de management CobiT », p.52.
sion n’est pas compatible avec
11
 dossier :Audit
« Développer les procédures et les deux éléments importants : d’une référentiel, qui n’est utilisable, pour
maintenir ». Pour l’efficacité d’une part, une structure partagée entre des missions de ce type, qu’avec des
intervention d’audit de projet, il est les intervenants d’une équipe d’au- adaptations importantes aux objec-
préférable de resserrer l’analyse sur dit, qui doit explorer un territoire tifs et aux priorités de l’audit.
un corpus des « bonnes pratiques » complexe sous la pression du délai
de gestion de projet, tel que ceux convenu ; d’autre part, un quadrilla- Nous avons donc construit, au sein
que l’AFNOR ou l’AFAI ont publiés. ge, parfois trop systématique, que de Fontaine Consultants, un référen-
les auditeurs exploitent comme tiel d’audit propre au type de
check-list afin de préparer leurs missions qui nous sont confiées, qui
L’apport d’un cadre structuré propres outils. permet à nos auditeurs de déployer
Le référentiel CobiT apporte donc, Cette démarche exige un investisse- leur expertise et de coopérer en
dans notre pratique opérationnelle, ment d’appropriation important du équipes performantes.

LES OUVRAGES PARUS

■ La rentabilité des projets informatiques

L’étude de la rentabilité des projets informatiques, c’est un piège : « si on ne le fait pas, on vous le reproche ; et si on le fait,
personne n’y croit. » Voilà le décor planté. Pourtant, cela n’est pas si difficile. Pour une direction générale ou un DSI, le
pilotage des projets par leur retour sur investissement devrait être la règle. Force est de constater que ce n’est que trop
rarement le cas, au mépris des saines règles de l’IT Governance.
Réhabiliter de saines pratiques en matière d’analyse de rentabilité, détailler une méthodologie, fournir des points de repère,
illustrer la démarche par des cas concrets, et surtout mettre en filigrane de tout projet les critères de sa rentabilité pour
établir des jalons, mesurer les points de contrôle, et décider au cours de la vie du projet, s’il passe l’examen de la décision,
de continuer, de réorienter ou d’arrêter le projet sont les objectifs de cet ouvrage. Ambitieux, probablement, mais utile
sans doute.

■ Le livre blanc sur l’enquête ERP

À l’occasion du séminaire du 18 janvier 2005, l’AFAI publiera un livre blanc qui résulte de l’enquête menée par ASK Conseil
sur les bonnes pratiques observées en matière de mise en place d’ERP. Cette enquête a permis de mettre en évidence des
typologies de comportement entre Groupes d’origine diverses (USA, UK, RFA, FR) sur deux grands ERP du marché, SAP et
ORACLE.
Les auteurs en ont dégagé une voie de progrès concrétisée par un modèle de maturité pour réussir la transformation de
l’entreprise en alignant la performance à la stratégie ERP.

LES OUVRAGES À PARAÎTRE

■ Le support client
• La revue n° 78 - Mars 2005

L’ouvrage qui sortira au premier semestre 2005 est destiné à mettre en exergue le rôle déterminant de la fonction support
dans le pilotage de la performance de l’informatique. En effet, les travaux sur le thème de la performance se polarisent sur
les projets là où les budgets sont de plus en plus absorbés par les tâches récurrentes. Cet ouvrage permettra de :
– comprendre le rôle central du support dans une approche de gouvernance basée sur IT Scorecard ;
– réussir la greffe d’un contrat externalisé dans les processus internes et auprès des acteurs concernés ;
– passer en revue les méthodes (ITIL, CoBIT) et se situer vis-à-vis des bonnes pratiques (modèle de maturité, modèle d’évo-
lution).
Son résultat sera une boîte à outils recensant les principales pratiques, les pistes possibles d’amélioration et les interro-
gations ouvertes.

12