Beruflich Dokumente
Kultur Dokumente
en partenariat avec
16 novembre 2006
Institut de
lAudit Interne
Plan de la prsentation
1. Introduction
2. Evaluation des processus projet
Contextes
Rfrentiels utiliss
Pratiques
Contexte sanofi-aventis
Rfrentiels utiliss
Droulement dune mission daudit
Points de vigilance, points de repres
4. Questions rponses
Institut de
lAudit Interne
Objectif de la prsentation
Partager des retours d'expriences..
Lexprience, voil le matre en toutes choses. (Jules Csar)
Institut de
lAudit Interne
Plan de la prsentation
1. Introduction
2. Evaluation des processus projet
Contextes
Rfrentiels utiliss
Pratiques
Contexte sanofi-aventis
Rfrentiels utiliss
Droulement dune mission daudit
Points de vigilance, points de repres
4. Questions rponses
Institut de
lAudit Interne
Institut de
lAudit Interne
ISO 9000 Modle dassurance qualit utilis pour la certification des systmes de
management de la qualit. Les normes de la famille ISO 9000 constituent un ensemble de
rfrences de qualit incontest sur le plan mondial.
ISO 15504 (SPICE) - Norme pour lvaluation de processus logiciels, synthse des
dmarches d valuation et d amlioration de processus logiciel : CMM, BootStrap,
TRILLIUM, est cohrente avec les normes existantes : ISO 9000, ISO 12207. Elle est
applicable un large domaine d applications, daffaires, de tailles dorganisation de
projets. Elle permet de comparer des entits semblables et elle produit des profils de
processus cots selon une chelle six niveaux.
CMMI est un cadre de rfrence dvelopp par le SEI visant guider les organisations
dans leur dmarche d'amlioration des processus informatiques. Ce modle permet, en
fonction des pratiques clefs mises en place par une organisation, de dterminer son
niveau de maturit globale (sur une chelle de 1 5) et son profil de capacit (chelle de 0
5 par processus).
Institut de
lAudit Interne
Critres Communs (ISO 15408) a pris le relais des ITSEC dans le processus
dvaluation du niveau de scurit des logiciels et systmes dinformation. Ils dfinissent
les procdures et les mesures techniques normalises prendre en compte dans le
cycle de vie dun produit logiciel.
ITSEC
Institut de
lAudit Interne
Un systme qualit certifi pour dmontrer sa mise en place : donner confiance en externe en
situation contractuelle
Objectifs :
ISO 9001
Point faible : trs gnrale, a t complte par des guides ou exigences spcifiques au
domaine dapplication (mtier informatique)
ISO 1011-1,-2 et-3 a t remplac par ISO 19011 : Lignes directrices relatives aux audits de systmes de management de la
qualit et/ou de management environnemental
Institut de
lAudit Interne
Institut de
lAudit Interne
En 1993, lancement dun programme damlioration pour toutes les Units avec pour
objectif :
Un corps d'valuateurs
Institut de
lAudit Interne
Le niveau CMM n'est pas certifiable au sens o on l'entend habituellement pour d'autres
reconnaissances de la Qualit.
L'apprciation de l'atteinte d'un niveau rsulte d'une auto-valuation ralise par une
quipe interne de 5 ou valuateurs forms. La bonne application de la mthode est
vrifie, pendant l'valuation, par le lead-assessor accrdit par le SEI.
A l'issue de cette valuation, un rapport rdig par l'quipe d'valuation, discut et admis
par les valus, est remis la Direction de l'organisation: il prcise les forces et les
faiblesses identifies et indique le niveau atteint
Institut de
lAudit Interne
Institut de
lAudit Interne
Plus de 50 pays
2000 entreprises
CMMI et ISO 9001 sont bass sur une approche processus et d'amlioration continue
mais :
une grande partie des exigences de l'ISO 9001 sont couvertes par latteinte du
niveau 2 CMMI ; certaines exigences ISO 9001 se retrouvent plus spcifiquement
au niveau 3 CMMI.
Institut de
lAudit Interne
Institut de
lAudit Interne
Ressources
humaines
Achat
Pilotage
suivi
Conduire un projet
informatique
Les besoins
du client
Dployer
La satisfaction
du client
Exploiter
Cartographie
applicative
Institut de
lAudit Interne
Validation
Capitalisation
Modle
Institut de
lAudit Interne
Rsultats dvaluation
5
4
3
2
1
0
Gestion projet
Institut de
lAudit Interne
Qualit
Gestion conf
Soustraitance
Gestion
exigences
Synthse
CMMI
Institut de
lAudit Interne
Plan de la prsentation
1. Introduction
2. Evaluation des processus projet
Contextes
Rfrentiels utiliss
Pratiques
Contexte sanofi-aventis
Rfrentiels utiliss
Droulement dune mission daudit
Points de vigilance, points de repres
4. Questions rponses
Institut de
lAudit Interne
Institut de
lAudit Interne
Institut de
lAudit Interne
Institut de
lAudit Interne
Lovenox / Clexane
Plavix / Iscover
Taxotere
Eloxatine
Stilnox / Ambien / Myslee
Allegra
Lantus
Delix / Tritace / Triatec
Copaxone
Aprovel / Avapro /Karvea
Amaryl
Actonel
Dpakine
Xatral
Nasacort
Institut de
lAudit Interne
CA 2005
En millions deuros
volution donnes
comparables
2 143
2 026
1 609
1 564
1 519
1 345
1 214
1 009
902
892
677
364
318
328
278
+ 13,8 %
+ 20,2 %
+ 12,8 %
+ 30,6 %
+ 10,6 %
- 9,1 %
+ 47,5 %
+ 2,4 %
+ 24,1%
+ 13,9 %
+ 0,7%
+ 23,8 %
+ 4,6 %
+ 18,4 %
2,1 %
sanofi-aventis
Organisation et contrle interne
Institut de
lAudit Interne
Hritage
Institut de
lAudit Interne
Institut de
lAudit Interne
ISO 17799 (BS 7799) - Catalogue de bonnes pratiques assurant un client que
ses informations sont gres de manire scurise par son fournisseur.
Complment de rponse aux obligations de scurit des systmes
d'information.
Audit preparation
Assignment letter
Integration package
Collected material
External resources
integration meeting
Data collection
Risk assessment
Audit Program selection
Checkpoint 1
Fieldwork
{Opening meeting presentation template}
Checkpoint minutes
{Checkpoint 1}
{Weekly update}
Quality
Management
{Checkpoint 2}
Opening meeting
Interviews
Data collection
Weekly update
Closing meeting
Checkpoint 2
Updated Dashboard
Interview material
Opening meeting minutes
Evidences / supporting materials
Closing meeting minutes
Checkpoint minutes
Updated Dashboard
Audit report
Draft Audit Report
{IS Audit report template}
Auditees' comments
Checkpoint minutes
{Checkpoint 3}
AICA/ISA
Institut de
lAudit Interne
Checkpoint 3
Updated Dashboard
No of review areas
A-Project
Management
A - Project Management
B - Application environment
14
6
C - Application controls
D - Infrastructure
Reviewed
Work in Progress
5
3
1
3
E - Change Management
12
7
1
46
Control Theme
ID
Control
Objective
To be started
Test guidance
Control
documentation
(Type and
Reference)
A - Project Management
A.7
Organisationa Organisational
Check that there is sufficient awareness and understanding of information
l policies
policies are
policies and procedures
clearly
Check that Management implements a communication process and tools
communicated,
communicating policies
understood as
Regular campaigns exist to check awareness of the project and key goals
part of the project
A.8
Steering
Is there a project steering committee and high-level sponsor who exercise
committees IT management control over the project ?
and business
The Steering Committee, should among other things, be looking very
process owners
carefully to see that regular milestones were included in the project plan. It is
establish and
expected that reports from, and discussions with the project team manager on
apply a structured the achievements against these milestones are promptly reported.
approach
Are steering commitees planed ?
regarding the long- Minutes from IT planning/steering committee meetings reflect the planning
range planning
process.
process.
Planning methodology deliverables exist and are as prescribed.
7
9
Contact
4
29
Progress Comments
IT Risk Impact
Steering
committes
minutes
A. Einstein
CMM
Institut de
lAudit Interne
Comptences en SI
Ressources externes.
Institut de
lAudit Interne
Institut de
lAudit Interne
Institut de
lAudit Interne
Avant-projet
Audit de la gestion
des besoins utilisateurs
Institut de
lAudit Interne
Projet
Audit projets
en difficult
Post-projet
Audit post-projet
Institut de
lAudit Interne
www.coso.org
IFACI (Institut Franais de lAudit et du Contrle Interne) : www.ifaci.com
ISACA (Information Systems Audit and Control Association) : www.isaca.org
ISO (Organisation Internationale de Normalisation) : www.iso.org
ITIL (Committee of Sponsoring Organizations of the Treadway Commission) :
www.itil.co.uk
PMI (Project Management Institute) : www.pmi.org
SEI (Software Engineering Institute) : www.sei.cmu.edu
Comparatif,analyse et tendances ITIL, CObIT, ISO 27001, eSCM , Jacqueline Sidi, Martie
Otter, Laurent Hanaud, 2006
CMMI Un itinraire flch vers le Capability Maturity Model Integration Richard
Basque, Dunod 2004
Institut de
lAudit Interne
Plan de la prsentation
1. Introduction
2. Evaluation des processus projet
Contextes
Rfrentiels utiliss
Pratiques
Contexte Sanofi-Aventis
Rfrentiels utiliss
Droulement dune mission daudit
Points de vigilance, points de repres
4. Questions rponses
Institut de
lAudit Interne
Questions rponses
Institut de
lAudit Interne