PROMOTION 2009, MBA : AUDIT, CONSEIL ET CONTROLE DE GESTION

STRATEGIE D'AUDIT DES PROJETS

INFORMATIQUES : COMPLEMENTARITE

DES REFERENTIELS COBIT, PMBOK ET

CMMI

THESE PROFESSIONNELLE

ENTREPRISE

PERIODE DE STAGE

06/04/2009 - 06/10/2009

AUTEUR TUTEUR

F. FAURE M. LIOTTIER

Remerciements

En préambule à cette thèse, je souhaiterais adresser toute ma gratitude aux personnes qui m'ont apporté leurs conseils, leur expertise et leur soutien au cours de mes recherches et qui ont ainsi contribué à son élaboration.

Tout d'abord, je souhaite exprimer ma reconnaissance envers la Banque de France, et plus particulièrement à Mme LE MAGUER, Mr AFRIAT, Mr LHUISSIER, Mr BORDES et Mr MAHE qui m'ont fourni de nombreuses informations et fait part de leur expertise dans les domaines de l'audit interne, de l'audit informatique et de la gestion de projet. Ils m'ont permis d'explorer de manière transversale et approfondie une problématique résolument actuelle en relation avec mon stage et mes projets professionnels.

Ce fut un véritable plaisir de travailler à leurs cotés tant pour leur niveau de compétence, et la richesse de leur enseignement que pour leur accueil et leur disponibilité.

Ma reconnaissance s'adresse également à mon directeur de recherche Mr LIOTTIER, professeur de l'ISC, qui m'a accompagné tout au long de la réalisation de cette thèse, et m'a permis d'orienter judicieusement mes axes de réflexion.

Enfin, je tiens à remercier l'ISC et son corps professoral, qui m'a enseigné les fondamentaux du métier d'auditeur interne. Cela m'a permis de m'intégrer facilement au sein des équipes de la Banque de France et de produire, en ma qualité de stagiaire, un travail efficace.

Cette expérience, très instructive, m'a permis d'apprendre tant sur les valeurs que sur le métier d'auditeur interne.

l'information 38

II.2.2. Qualité de la conduite de projet 40

II.2.3. Qualité du produit délivré par le projet 45

II.2.4. Vue d'ensemble 47

CONCLUSION 49

TABLES DES ILLUSTRATIONS 51

ANNEXES 52

GLOSSAIRE 55

BIBLIOGRAPHIE ET AUTRES SOURCES 56

1

Synthèse

Dans un environnement compétitif, maîtriser le système d'information est une clé essentielle du succès et de la survie d'une entreprise : ses processus métiers critiques dépendent de sa capacité à collecter et traiter de multiples informations et de disposer d'un outil souple et fortement évolutif afin de l'adapter aux changements organisationnels. Les projets informatiques visent à délivrer ou à faire évoluer le système d'information de l'entreprise pour qu'il soit plus efficace et mieux adapté à son environnement. De fait, la réussite des projets informatiques en termes de respect des délais, des coûts et de la qualité est aujourd'hui un enjeu important pour l'entreprise et la maîtrise des risques projets est un enjeu majeur pour garantir leur succès.

Un projet informatique est aujourd'hui, à l'instar d'un projet de BTP, un projet d'intégration qui requiert tout au long du cycle de vie de multiples compétences et expertises pour permettre l'assemblage de divers composants techniques.

Ainsi, un projet informatique comprend pour principales étapes :

· le développement du logiciel applicatif comme support aux processus opérationnels du métier ;

· la fourniture de l'infrastructure technique (serveurs, réseaux, flux de communication, dispositifs de sécurité, environnement de secours ...) ;

· l'intégration du logiciel applicatif dans l'infrastructure technique de l'entreprise pour constituer le système informatique ;

· l'intégration du logiciel applicatif dans le système d'information de l'entreprise avec la mise en place d'interfaces inter applicatives.

De toute évidence, les risques sont nombreux. Ils dépendent fortement de la capacité des différents acteurs à comprendre et définir les besoins, concevoir une solution adaptée, la réaliser et enfin la mettre en oeuvre.

Ces risques se traduisent par des dérives en termes :

· d'augmentation des charges ;

· d'allongement des délais ;

·

2

de mauvaise qualité du logiciel ou des services offerts aux utilisateurs ;

· de réduction du périmètre couvert.

Les risques sont certains, seul le moment où ils apparaissent et l'importance de leur impact est incertain. En effet, une étude publiée par le Système Européen des Banques Centrales (SEBC) affirme que 83% des grands projets informatiques analysés subissent des retards, 42% des surcoûts, et 25% ne couvrent que partiellement les attentes des utilisateurs.

En 1517, Nicolas de Machiavel dans Discours sur la première décade de Tite-Live écrivait : « Lorsqu'on s'aperçoit très tôt des maux naissants, ce qui n'est donné qu'au sage, on peut y remédier facilement. Cependant lorsque, faute de s'en être aperçu, on les laisse grossir assez longtemps pour qu'ils deviennent visibles à tous, il n'y a plus de remède possible. »

La gestion des risques est donc capitale sur un projet. Ainsi, l'objectif des audits de projets s'inscrit pleinement dans cette approche, à savoir être le levier d'action des projets en difficultés.

Confrontés à la complexité des projets, comment les auditeurs peuvent-ils dresser un état des lieux, préconiser des recommandations pour remédier aux faiblesses identifiées dans un délai restreint, sans pour autant être expert dans les différents domaines ?

Pour ce faire, l'audit de projet informatique s'appui de plus en plus sur un ensemble de normes, de référentiels, et de bonnes pratiques du domaine informatique, notamment sur:

· la gouvernance des systèmes d'informations ;

· les techniques d'ingénierie informatique : de développement, de sécurité, d'exploitation...

· le management des projets.

De par le caractère unique des projets informatiques, il n'existe pas un référentiel unique couvrant l'ensemble des spécificités des projets et l'objet de cette thèse est d'établir une démarche méthodologique visant à définir les thématiques essentielles à l'audit des projets informatiques à partir de la complémentarité des référentiels suivants :

· CobiT (Control Objectives for Information and related Technology) pour définir le cadre d'audit des projets informatiques ;

·

3

PMBOK (Project management body of knowledge) pour les aspects relatifs à de la gestion de projets ;

· CMMI (Capability Maturity Model Integration) pour les processus de développement de logiciels informatiques.

Cette approche globale de la complémentarité des référentiels cités conduit à définir trois axes essentiels à la réussite d'un projet informatique :

· alignement du projet sur la stratégie métier de l'entreprise et sur les choix des technologies de l'information ;

· qualité de la conduite de projet ;

· qualité du produit délivré par le projet.

Une étude plus approfondie de chaque axe autour des domaines de processus définis dans les référentiels permet d'établir un ensemble de points de contrôle à analyser durant les investigations. Elle doit être complétée par l'évaluation des risques établis par le projet ainsi que ceux du métier audité.

Les objectifs visés par un audit de projet sont de :

· proposer des pistes d'amélioration rapidement mises en oeuvre pour réorienter un projet, en particulier sur les faiblesses du management ;

· formuler des recommandations sur la stratégie de réalisation, en particulier sur l'adaptation, du cycle de vie projet, de l'organisation, du lotissement du périmètre fonctionnel afin de respecter au mieux les objectifs du projet.

L'approche de l'audit des projets informatiques développée dans cette thèse à travers la complémentarité des référentiels de gouvernance, de management et de développement mérite d'être complétée pour tenir compte du capital humain. En effet, l'aptitude des acteurs à résoudre un problème par la connaissance approfondie qu'ils possèdent d'un domaine doit être pris en compte. Ainsi la capitalisation des savoirs, la gestion des connaissances au sein de l'entreprise pourrait constituer un cinquième axe d'analyse.

4