Cycle des conférences AFAI à l'Université Paris Dauphine

3 avril 2014

Le contrôle interne comme levier essentiel de la maîtrise

d’un projet informatique

Muriel Soudry Site readiness manager, Sanofi Affaires Industrielles

Gina Gullà-Ménez Directeur IS Compliance et Contrôle interne, Sanofi Affaires Industrielles

Plan de la présentation

1. Introduction - contexte Sanofi

2. Le contrôle interne et le projet

• Les enjeux de Sanofi

• L’approche

3. Points de vigilance, points de repères

Conclusion

Questions réponses

2

3

NOTRE HISTOIRE

• SANOFI EN BREF

Hoechst Marion

Roussel 1997

Roussel 1911

Marion 1950

Hoechst 1863

Synthélabo 1970

Delalande 1924

Delagrange 1931

Robert & Carrière

1901

Dausse 1834

BMP Sunstone, Medley, Merial, Nepentes, Zentiva,

Kendricks, Oenobiol, Chattem, Acambis, Symbion, Shantha

Biotechnics 2008-2010

Genzyme 2011

Sanofi-aventis 2004

Aventis 1999

Sanofi-Synthélabo 1999

Sanofi Pasteur 2004

Sterling 1901

Midy 1718

Clin Midy 1971

Chinoin 1919

Sanofi 1973

Connaught 1922

Rorer 1910

Rhône-Poulenc Rorer 1990

Institut Mérieux

1897

Wittman & Poulenc

1860

Une longue tradition dans le domaine de la santé

Sanofi - bref historique

• Sanofi est l’héritier d’une très longue histoire qui s’illustre avec les grands progrès scientifiques des XIXème et XXème siècles et la notoriété des principaux laboratoires industriels qui ont marqué l’évolution de la chimie, de la pharmacie et de la médecine :

– En 1718, les Laboratoires Midy sont créés par une famille de pharmaciens.

– En 1980, le groupe Clin Midy est racheté par Sanofi.

– Les Laboratoires Dausse sont fondés en 1834 et les Laboratoires Robert & Carrière en 1901. Leur alliance donnera naissance en 1970 au Groupe Synthélabo.

– En 1860 le pharmacien Etienne Poulenc crée la société Wittmann et Poulenc Jeune. En 1910, le laboratoire Rorer voit le jour. La fusion des deux sociétés donnera naissance en 1990 à Rhône-Poulenc Rorer.

– En 1863, un groupe de chimistes, de commerçants et d’ouvriers se lance dans la fabrication de colorants dans une petite usine située à l'ouest de la ville de Höchst, en Allemagne. C’est l’origine de la société Hoescht qui, par son alliance le laboratoire Roussel fondé en 1911, donnera Hoechst Marion Roussel.

– En 1887, Marcel Mérieux, élève de Louis Pasteur, fonde l’Institut Biologique Mérieux qui deviendra en 2004 Sanofi Pasteur, la division vaccin du groupe Sanofi.

• Et plus récemment – Les groupes Sanofi et Synthélabo fusionnent en mai 1999 pour constituer un acteur majeur de la

pharmacie. Il s’agit de deux groupes jeunes, fondés respectivement en 1973 pour Sanofi et en 1970 pour Synthélabo.

– En décembre 1999, les groupes Rhône-Poulenc et Hoechst Marion Roussel, officialisent par leur fusion la création d’Aventis. Le groupe franco-allemand se situe dans les tous premiers mondiaux.

– En août 2004 Sanofi-Synthélabo prend le contrôle d’Aventis. La fusion-absorption, finalisée le 31 décembre de la même année, donne naissance à Sanofi-Aventis.

– Le 6 mai 2011, Sanofi-Aventis simplifie son nom en Sanofi

4

1973 à 2008 2009 à 2011

Leader de santé diversifié

300 fusions et acquisitions

10 110 000 dans 100 pays

Employés

Santé, Beauté, Nutrition

Source : estimation collaborateurs mars 2011, présentation RI - 6 sept. 2011

23 acquisitions incluant Genzyme

+ 61 + 2 créations de co-entreprises

soit 23 Mds€ investis

accords de licence

Sanofi – évolution et chiffres clés

5

PRÉSENTATION INSTITUTIONNELLE 2011

30,4 Mds€

de CA en 2010

Autres pays

3 730 Marchés émergents

10 957

États-Unis

10 433

Europe occidentale

7 831

CHIFFRE D’AFFAIRES TOTAL PAR ZONE GÉOGRAPHIQUE (en millions d’euros)

6

Chiffres au 31/12/2013

DETAIL DES PLATEFORMES DE CROISSANCE (in million euros)

(Croissance à taux de change

constants)

Marchés émergents €10 957M

Solutions diabète € 6 568M

Vaccins € 3 716M

Santé Grand Public € 3 004M

Genzyme € 2 142M

Santé animale € 1 985M

Produits innovants € 705M

CHIFFRE D’AFFAIRES NET (en millions d’euros)

32 951 m €

• CHIFFRES CLÉS 2013

Chiffres au 31/12/2013

Sanofi – stratégie

• Une stratégie centrée sur les besoins du patient – Caractérisée par une rupture de son modèle commercial traditionnel et par une profonde transformation

de l’environnement de la R&D, l’industrie pharmaceutique se situe à un véritable carrefour : • contraintes réglementaires strictes

• essor des génériques

• contrôle des coûts

– Aussi la demande en solutions de santé n’a jamais été aussi forte. Enfin et surtout, jamais les opportunités scientifiques et technologiques n’ont été aussi prometteuses. Sanofi est à une époque charnière de son histoire entre défi et opportunité.

• Au carrefour de toutes les opportunités – 2012, le Groupe perd 30 % de son chiffre d’affaires sans pouvoir prétendre à une compensation

équivalente de la part des produits de son portefeuille de développement.

– Notre stratégie s’articule autour de trois grandes priorités : • accroître l’innovation en Recherche et Développement,

• saisir les opportunités de croissance externe,

• s’adapter aux enjeux et aux opportunités à venir.

• Une croissance durable et adaptée aux réalités locales – Notre stratégie repose sur une politique structurée d’acquisitions et de partenariats adaptée à la réalité

de chaque pays et qui renforcent nos six plates-formes de croissance : • les marchés émergents, les vaccins humains, la santé grand public, le diabète, les produits innovants et la santé

animale.

• avec Genzyme, Sanofi renforce son expertise dans le domaine de la biotechnologie et des maladies rares.

7

Sanofi – organisation non officielle

8

Sanofi – Affaires Industrielles

• Les « Affaires Industrielles » développent, produisent, conditionnent, stockent et distribuent les produits du Groupe.

• Sanofi a choisi d’intégrer la fabrication de ses produits afin d’en maitriser la qualité et la distribution.

• Stratégie des « Affaires Industrielles » : développer son portefeuille et construire sa diversification, aussi bien dans les pays émergents que sur les autres marchés.

• Aujourd’hui, un maillage industriel complet, avec : – des sites globaux dédiés à la fabrication de dispositifs médicaux, de systèmes

et de produits hautement technologiques,

– des sites régionaux dédiés à des marques qui réalisent des volumes importants sur des produits de grande consommation et des usines locales tournées vers leur marché national.

• La tendance actuelle consiste en une synergie industrielle, en rapprochant les activités pharmaceutiques et vaccins et en adaptant l’outil de production à la mutation vers les biotechnologies.

9

UN RÉSEAU

INDUSTRIEL

MONDIAL

•Une forte présence géographique pour répondre aux

besoins de nos clients

AMÉRIQUE DU NORD

AMÉRIQUE LATINE

11 sites 7 PHARMA (Solides)

2 SANTÉ ANIMALE 2 VACCINS

52 sites 39 PHARMA (Solides,

Injectables, Chimie et Biotechnologies)

2 GENZYME 8 SANTÉ ANIMALE 3 VACCINS

EUROPE

20 sites 3 PHARMA (Solides)

8 GENZYME 5 SANTÉ ANIMALE 4 VACCINS

7 sites 7 PHARMA (Solides)

AFRIQUE MOYEN-ORIENT

ASIE-PACIFIQUE

22 sites 14 PHARMA (Solides et

Chimie)

1 GENZYME 3 SANTÉ ANIMALE 4 VACCINS

112 SITES DE

FABRICATION DANS

40 PAYS

(40 sites dans les pays

émergents)

1

0

4 milliards de boîtes produites et distribuées par an

~45 000 collaborateurs centrés sur la satisfaction des patients et des clients

Sanofi - DSI des Affaires Industrielles

• Mission de la DSI des Affaires Industrielles • Assurer la bonne maîtrise du SI qui repose sur un socle commun de

standards et de solutions informatiques harmonisées.

• Les systèmes d’informations des activités industrielles de Sanofi ont une importance stratégique pour l’entreprise :

– ils supportent la majeure partie des processus issus du savoir-faire de nos équipes et composant notre patrimoine.

– Ils constituent un levier essentiel de performance pour l’industriel

– Ils permettent d’apporter un avantage concurrentiel dans un environnement de plus en plus compétitif.

• Une usine sanofi est très largement automatisée (60 % à 80 % en moyenne).

• Le paysage applicatif est le résultat des fusions /acquisitions.

11

Sanofi - IS Internal Control activities

• Indépendamment de la DSI industrielle, un département IS

Internal control & compliance intervenant selon 2 axes :

Preventive approach

Includes all steps and controls taken before any problem occurs

* Guideline, Communication notes, training,

* SOD matrix definition, support IS to implement in Athena transaction allowing sites to check SOD conflicts,

* site readiness – internal control applied to project

Post-implementation approach

Includes all steps and controls taken to detect and to correct any error or

irregularities that may have occurred

* Internal Control Campaign with a use of the CSI tool (data mining)

* SOX Testing

| 12

12

Plan de la présentation

1. Introduction - contexte Sanofi

2. Le contrôle interne et le projet

• Les enjeux de Sanofi

• L’approche

3. Points de vigilance, points de repères

Conclusion

Questions réponses

13

sanofi

Organisation et contrôle interne

• Le contrôle interne est une préoccupation historique du Groupe

• Sanofi et ses filiales françaises sont soumises à la loi de sécurité financière du 1er

août 2003 .

• sanofi est également tenu de respecter les dispositions de la loi Sarbanes Oxley

du 30 juillet 2002.

sanofi s’appuie sur les principes des 3 lignes de maîtrise. En 2013 L'AMRAE* et

l'IFACI* ont publié une position commune pour formaliser un modèle de maîtrise

des risques, avec le soutien de l'IFA*.

• Ce modèle fournit un référentiel utile pour l’articulation des différentes fonctions et

prérogatives.

• AMRAE - L'Association pour le management des risques et des assurances de l'entreprise (AMRAE)

• IFACI - l'Institut français de l'audit et du contrôle interne (IFACI)

• IFA -

14

Sanofi - Le Modèle des 3 lignes de maîtrise

15

Rég

ula

teu

rs

Au

dit e

xte

rne

gestion

des risques

contrô

le inte

rne

assu

ran

ce

con

form

ité

Modèle des trois lignes de maîtrise

Conseil d’administration / Comité d’audit

Direction générale

1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise

S.I.

R.H.

Management

opérationnel

Juridique

Finance

Audit

interne

HSE

Contrôle

de gestion

...

Le modèle 3 lignes de maîtrise

• Ce modèle considère que les risques sont pris en premier lieu par les opérationnels et leur hiérarchie sur le terrain, dont les pratiques et processus de maîtrise des risques constituent donc la « 1ère ligne de maîtrise ».

• La « 2nde ligne de maîtrise » est tenue par les fonctions spécialisées en gestion des risques, qui ont pour but de concevoir, coordonner et piloter un cadre cohérent pour la prise de risque, sans être toutefois exposées directement aux activités à risque. Cela recouvre les « fonctions clés » de la gestion des risques au sens du Pilier 2 (gestion des risques, contrôle interne et conformité).

• L’audit interne, par ses missions indépendantes, périodiques et dont la priorisation est fondée par une analyse des risques de l’entreprise fournit une « assurance raisonnable » sur la pertinence et le correct fonctionnement de ce dispositif. Il constitue ainsi la « 3ème ligne de maîtrise ».

16

Les enjeux sanofi

Le contrôle interne

• Adoptée en juillet 2002 par le Congrès américain, la Loi

Sarbanes-Oxley (SOA) implique que les Présidents des

entreprises cotées aux Etats-Unis certifient leurs comptes auprès

de la Securities and Exchanges Commission (SEC) l'organisme

de régulation des marchés financiers US.

• Guidée par trois grands principes : l'exactitude et l'accessibilité

de l'information, la responsabilité des gestionnaires et

l'indépendance des vérificateurs/auditeurs

• Son objectif : restaurer la confiance des investisseurs et de

renforcer la gouvernance d'entreprise, largement entamée par les

nombreux scandales financiers de 2001 et 2002

17

18

Sanofi - IT Internal control framework : COSO/CObIT

• Le CObIT ¹ Modèle de référence pour la gouvernance des technologies de l'information, permet de comprendre et de gérer les risques liés aux systèmes d'information. La SEC a retenu l'infrastructure de contrôle interne COSO ². COBIT était la meilleure voie pour évaluer la conformité aux exigences du COSO.

• ISO 17799 - Catalogue de bonnes pratiques assurant un client que ses informations sont gérées de manière sécurisée par son fournisseur. Complément de réponse aux obligations de sécurité des systèmes d'information.

• ISO 15504 et ITIL.

¹ CObIT - Control Objectives for Information and related Technology

² COSO - Committee of Sponsoring Organizations

| 18

19 19

Sanofi - Sarbanes Oxley, Internal Control and

Compliance time perspective

2005-2009

Before 2005

2010 2011

Sarbanes Oxley did not

exist

Neither IS Internal audit

Reaching compliance

Internal Tests

External Tests

Fix deficiencies

Reaching compliance

Internal Tests

External Tests

(CACs)

Fix deficiencies

+ Security Diagnostic (fix

deficiencies)

Reaching compliance

Internal Tests

External Tests

(CACs)

Fix deficiencies

+ Security Diagnostic

(preventive)

++ integration of know how

Since 2012

Reaching compliance

Internal Tests

External Tests

Fix deficiencies

+ regular internal controls

++ Focus on internal control

and articulated model

20

Les enjeux sanofi

Les grands projets de déploiement

les facteurs de succès

• Selon différentes études* :

– 25% des projets sont abandonnés avant d’être mis en production,

– 50% des projets ont un dépassement budgétaire de l’ordre de 100 %

– 75% des projets sont considérés comme des échecs opérationnels

• Causes de succès

– Implication des utilisateurs qui expriment clairement leur objectifs (alignement

stratégique) et formalisent leurs exigences; cela ne veut pas dire que toutes les

exigences fonctionnelles formalisées doivent être prise en compte !

– Implication au bon niveau du management dans le soutien du projet (gouvernance,

arbitrage)

– Fréquence des tests et des bilans (milestones).

* Standish Group: « Chaos Chronicle », Oxford University

21

Les enjeux sanofi

Les grands projets de déploiement

• 2 groupes de raisons d’échec, liés à :

– Une faiblesse de l’organisation du projet, maîtrise des charges et des délais

– Une mauvaise réponse au besoin

• Causes d’échec:

– Evolution non maîtrisée des spécifications en cours de réalisation

– Le facteur humain : conduite du changement

– Gestion de projet insuffisante:

• estimation imprécise, non révisée en cours de projet,

• un calendrier de réalisation trop optimiste pour convaincre la direction d’aller de l’avant;

• attendre qu’un projet prenne beaucoup de retard pour agir et espérer qu’ajouter des

ressources tardivement va “sauver les meubles”.

– Un contrat « mal cadré »

– Absence de gestion des risques actualisée tout au long du projet.

Les enjeux sanofi

Les grands projets de déploiement

The Standish Group.CHAOS

• Les ponts romains de l'Antiquité reposaient sur des structures peu efficaces. Au regard des normes

modernes, ils utilisaient trop de matériaux, et par conséquent, cela générait beaucoup de travail. Au fil des

années, nous avons appris à construire des ponts plus efficacement, en utilisant moins de matériaux et en

générant moins de travail pour effectuer la même tâche."

Tom Clancy (La Somme de Toutes les Peurs)

• L'une des raisons principales pour lesquelles les ponts se construisent dans les temps, en respectant le

budget et sans s’écrouler , est que leur conception est extrêmement détaillée. La conception est figée et

l'entrepreneur ne peut quasiment pas modifier les spécifications. Toutefois, à notre époque où tout évolue

rapidement, une conception figée ne permet pas de s'adapter aux nouvelles contraintes du Métier. Par

conséquent, un modèle plus souple doit être utilisé. Cela é été considéré comme une justification de l'échec

du développement logiciel.

Mais il y a une autre différence entre les défaillances des logiciels et celles des ponts, au delà des 3000 ans

d'expérience. Quand un pont s'effondre, une enquête est effectuée et un rapport est rédigé pour expliquer les

causes. Dans le secteur informatique, les défaillances sont couvertes, ignorées et/ou justifiées. En

conséquence, nous continuons à faire les mêmes erreurs, encore et encore …

22

23

Sanofi - L’approche

La deuxième ligne de maîtrise

• Une deuxième ligne de maîtrise

– Une équipe indépendante

– Une évaluation formelle de tout ou partie de la santé du projet

– Une approche basée sur les risques et évaluant les différentes activités liées au

projet.

• Zones d’investigation / critères d’évaluation /risques majeurs

– Alignement besoins métiers,

– Portefeuille projet,

– Organisation projet et ressources crittiques,

– Activités projet : ustilisateurs clé,

– Planification et suivi de projet,

– Infrastructure

– Conduite du changement

– Contrôle interne,….

• Les projets sont évalués quelque soit la phase du cycle de vie, depuis la phase pré-projet jusqu’au post démarrage.

24

Les points de contrôle d’un projet

Expression

des besoins

Etude

/Conception

Réalisation

Mise en

œuvre

Avant-projet Post-projet

La gouvernance / sponsorship

La gestion des risques projet

La gestion des besoins utilisateurs

La conduite du changement (formation, communication)

La maîtrise des appros, des fournisseurs

La gestion de projet (planification, suivi)

…….

Cahier

des

charges

Dossier

de

conception

Etude d’opportunité

Acceptation Plan et

rapport de

tests +

Documentatio

n

Bilan

Plan de formation

Plans

Plans

25

Le « contrôle interne » appliqué au projet

• En phase pré-projet , en fonction des invariants, l’évaluateur doit comprendre le cadre de la

conduite du projet

– S’appuyer sur les éléments d’entrées : évaluation de la maturité de l’organisation, des

infrastructures, de la sécurité

• Les invariants/points de contrôle sont :

– Le découpage : phases clé

– Les jalons du projet

– Les documents clé

– Les autres fondamentaux (cf causes d’échec et de succès):

• La gouvernance projet

• La gestion des risques

• La gestion des besoins utilisateurs

• La conduite du changement

• La maîtrise des appros, des fournisseurs

• La gestion de projet

26

Découpages et jalons

• Découpage d'un projet

– décomposé en lots ou en sous-projets ou encore en chantiers, afin d’obtenir des sous-ensembles dont la

complexité est plus facilement maîtrisable.

– en phases. Chaque phase est accompagnée d’une fin d’étape destinée à formaliser la validation de la phase

écoulée avant de passer à la phase suivante. (jalon)

•

• Jalonnement

– L’approche par jalons est un acte de direction, qui permet de bien structurer le projet dans le temps, en y

apportant de nombreuses garanties pour le maître d’œuvre : sa progression est calendairement mieux suivie.

– Les jalons permettent de faire le point sur le projet et de n’engager la phase suivante que si tout va bien. (Go/no

Go) Les décisions actées lors de cette revue de changement de phase sont des éléments stables sur lesquelles

peut être bâtie la suite du projet.

27

Les phases et les jalons clé

• Phase avant-projet : la réflexion sur l’intérêt du projet en lui-même, en terme d’opportunité stratégique

Jalon de Lancement du projet : on décide (au niveau “politique”) qu’il y a lieu de lancer un projet spécifique, et on y consacre un chef de projet, une équipe, des moyens, un responsable et un budget.

• Phase d’Expression du besoin : la définition de ce que l’on attend (les fonctions attendues), le périmètre, ce sur quoi on va évaluer le projet, ce qui est important et ce qui l’est moins.

Jalon de Validation du besoin : ainsi les évolutions dans l’approche des besoins pourront être tracées et justifieront d’éventuels ajustements du plan projet.

• Phase d’Etude/Conception : l’étude de ce qui est techniquement et économiquement faisable. Consultation des maîtres d’œuvres possibles, comparaison des propositions techniques et financières des réalisateurs possibles, spécification papier

Jalon du Choix de la solution, fin de conception : signature du contrat qui précise ce qui sera fait et la manière de le faire.

• Phase de Développement/réalisation : le chantier est lancé, les travaux avancent pour transférer le “produit papier” dans le réel.

Jalon de Livraison (et recette) Acceptation : on remet le produit entre les mains du client/utilisateur, qui en devient propriétaire (et peut émettre des réserves sur les écarts constatés). C’est la fin du projet proprement dit.

• Phase de post-projet ou Exploitation, qui commence le plus souvent par la levée des réserves, et voit la fin de la relation contractuelle.

28

Les documents-clés

• Tels que présentés en bleu dans le schéma précédent,

seuls une dizaine d’entre eux sont indispensables et ce

quel que soit le type de projet

– Ils doivent être validés et signés

– Ils doivent être disponibles à un moment précis du projet : un

plan qualité intervenant à la fin du projet n’a plus d’utilité

– Pour certains d’entre eux, ils doivent être tenus à jour non

seulement durant tout le projet mais aussi après la mise en

œuvre.

Review topic Site 1 Site 2 Blocking

1. Site assessment action plan follow-up

2. Project organization Yes

3. Critical resources and skills Yes

4. Business benefits/ KPI – strategic monitoring

5. Current and targeted application landscape Yes

6. AED / external and internal contracts Yes

7. Training : project management methodology & internal

control Yes

8. Availability of project documentation

9. Business Continuity criticality

10. Change management (Declic)

11. Safety/ security policy status Yes

12. Infrastructure Yes

Critical High Medium Low

Risks table / pre kick off table

| 29

Remediation plan

To be

formalized

Server room

AED, SLA

Qualification

IPL to be hired

Backfill

| 30

Project review radar Site 1

Et Agile dans tout ça

• Toujours d’après le Standish Group des délais plus petits, avec des

livraisons des composants logiciels plus tôt et plus fréquentes, augmentent

le taux de réussite.

• Le raccourcissement des délais se traduit par un processus itératif de

conception, prototypage, développement, test et déploiement de petits

éléments : "développement incrémental" par opposition à l'ancienne notion de

"développement global" d'un logiciel.

– l'utilisateur est impliqué plus tôt,

– chaque composant a un propriétaire ou un petit groupe de propriétaires,

– chaque composant logiciel a un énoncé clair et précis et un ensemble d'objectifs.

– les attentes sont établies de manière réaliste.

Les composants logiciels et les petits projets ont tendance à être moins complexes. La

complexité génère de la confusion et augmente les coûts

31

Méthode traditionnelle

• Les méthodes traditionnelles prônent un enchaînement séquentiel des différentes

activités, depuis les spécifications jusqu’à la validation du système, selon un

planning préétabli. Elles visent à mieux prédire la façon dont les choses « devraient

» se passer.

• Cette vision rassurante est bien loin de la réalité des projets. Les activités

d’ingénierie ne sauraient se succéder strictement sans qu’aucun changement ne

vienne perturber un planning qui n’a de durée de vie que le temps de le prononcer.

• La conséquence est que plus de 80% des projets exécutés selon ces

méthodologies connaissent des retards, des dépassements budgétaires, quand ils

ne finissent pas en échec total, pour n’avoir pas su satisfaire les attentes des

clients.

32

Pratiques Agile (1/2)

33

De nombreuses méthodes Agiles (XP*, Crystal, FDD**, Scrum**pour les plus connues) apporte

son propre lot de techniques et de pratiques, les unes concernant plutôt le pilotage de projet, les

autres, plutôt l’ingénierie.

• l’implication forte du client à travers le rôle de Product Owner,

• l’utilisation d’un Product Backlog pour gérer dynamiquement les fonctions du produit à

réaliser, et les priorités métier associées ; le Product Backlog est élaboré en début de projet,

et révisé autant que nécessaire,

• le Scrum Meeting, est une courte réunion quotidienne (environ 15’) qui rassemble tous les

membres de l’équipe de développement. Cette réunion permet aux personnes d’échanger

des informations sur l’avancement des tâches, signaler les problèmes rencontrés et

demander de l’aide si nécessaire,

• le Retrospective Meeting est une réunion de fin d’itération, focalisée sur les événements

survenus et l’analyse causale des dysfonctionnements, des pertes de productivité et de

qualité. Un ou deux axes d’amélioration seront privilégiés de façon consensuelle et se

traduiront par des tâches dans le backlog de l’itération suivante,

Pratiques Agile (2/2)

34

• l’Iteration Planning, en début d’itération, permet à l’ensemble de l’équipe projet de découvrir la liste des

fonctions à implémenter, d’identifier et d’estimer les tâches de réalisation,

• la Vélocité est un indicateur qui mesure le « volume » de logiciel produit par l’équipe au cours d’une

itération. Ce « volume » est estimé préalablement pour chaque fonction (ou User Story),

• le Burndown Chart est une représentation graphique de l’avancement des travaux au cours d’une

itération : la courbe représente simplement le reste à faire (en charge) tel qu’il est estimé chaque jour par

l’équipe. Le point initial représente l’effort total estimé pour l’itération pour l’ensemble de l’équipe,

généralement en heures, l’Intégration Continue consiste à compiler, assembler, vérifier et tester

l’ensemble du code source dès qu’un nouvel élément est mis à disposition, soit, idéalement, une à

plusieurs fois par jour,

• le Test Driven Development (TDD) consiste à écrire les programmes de tests unitaires avant de

programmer les fonctions elles-mêmes, puis d’adapter le code source testé unitairement jusqu’à obtenir

un code de qualité (Refactoring),

• le Test Driven Requirement (TDR) permet de spécifier le logiciel par l’exemple - les exigences

logicielles sont exprimées sous forme de cas de test,

• enfin le Pair Programming consiste à programmer en binôme dans le but d’être plus efficace en termes

de conception, de revue de code et de transfert de compétences.

Extreme Programming (XP - 1999)

Son but principal est de réduire les coûts du changement. Les principes ne sont pas nouveaux :

ils existent dans l'industrie du logiciel depuis des dizaines d'années et dans les méthodes de

management depuis encore plus longtemps. L'originalité de la méthode est de les pousser à

l'extrême :

• puisque la revue de code est une bonne pratique, elle sera faite en permanence (par un

binôme)

• puisque les tests sont utiles, ils seront faits systématiquement avant chaque mise en œuvre

• puisque la conception est importante, elle sera faite tout au long du projet - refactoring

• puisque la simplicité permet d'avancer plus vite, nous choisirons toujours la solution la plus

simple

• puisque la compréhension est importante, nous définirons et ferons évoluer ensemble des

métaphores

• puisque l'intégration des modifications est cruciale, nous l'effectuerons plusieurs fois par jour

• puisque les besoins évoluent vite, nous ferons des cycles de développement très rapides

pour nous adapter au changement

35

Extreme programming

36

Test and learn

37

DevOps

• Devops est un mouvement visant à aligner le système d'information sur les besoins de

l'entreprise. Ce que l'on pourrait résumer en travailler ensemble pour produire de la valeur

pour l'entreprise.

• Les initiateurs du mouvement sont principalement des administrateurs systèmes férus de

méthode agile, évoluant en entreprise. Certains avaient même lancé l'agile-infrastructure.

• Le principe de base de devops part du constat suivant : si une équipe d'exploitation est

primée sur la stabilité du système alors que l'équipe de développement est récompensée à

chaque nouvelle fonctionnalité livrée, il est évident que ces deux équipes vont se retrouver

en conflit perpétuel.

• Devops est la concaténation des trois premières lettres du mot anglais development

(développement) et de l'abréviation usuelle (ops) du mot anglais operations (exploitation),

deux fonctions de la gestion des systèmes informatiques qui ont souvent des objectifs

contradictoires. Le mot a été inventé par Patrick Debois[1] durant l'organisation des premiers

devopsdays à Gand en Belgique, en octobre 2009.

38

Plan de la présentation

1. Introduction - contexte Sanofi

2. Le contrôle interne et le projet

• Les enjeux de Sanofi

• L’approche

3. Points de vigilance, points de repères

Conclusion

Questions réponses

39

40

Points de vigilance

• Le projet est une organisation temporaire, qui « change continuellement de dimension et qui vit continuellement des changements. » – Les constats valides à un instant t peuvent être remis en question à t+1

– Les recommandations doivent être publiées le plus rapidement possible ; dans le cas contraire, elles pourraient être perçues comme tardives

• Périmètres complexes avec un grand nombre d’acteur :

– Structure matricielle

41

Point de repère

• La réalisation d’un projet de grande ampleur n’est possible qu’avec un personnel travaillant

à temps plein pour le projet

• Un projet important doit bénéficier d’un appui politique correspondant

• Identifier correctement les fournisseurs et vérifier leur engagements contractuels avec le

projet

• Pour un projet informatique : il est essentiel de réorganiser et d’harmoniser avant

d’informatiser

• Ne pas négliger le contexte du projet car son succès lui est directement lié :

– Forte implication des utilisateurs

– Qualification des personnes intervenant dans le projet

– Degré de standardisation dans l’entreprise

– Maturité de l’environnement de contrôle interne

Un mot de conclusion

• La période actuelle joue un rôle de révélateur et

d’accélérateur pour le renforcement des mécanismes de

contrôle interne informatique.

• La qualité de ces mécanismes (et des résultats) reste

tributaire de la mobilisation de l’ensemble des acteurs

impliqués et passe par une information / une formation aux

enjeux du contrôle interne.

• Enfin, en développant une meilleure appréhension des

facteurs de risques, l’entreprise améliore sa capacité à

saisir les opportunités nouvelles.

42

43

En guise de conclusion

Webographie et bibliographie

• ADELI (Association pour la Maitrise des Systèmes d’Information) : www.adeli.org

• AFAI (Association Française de l’Audit et du Conseil Informatiques ) : www.afai.fr

• AFNOR (Association Française de NORmalisation) : www.afnor.fr

• COSO (Committee of Sponsoring Organizations of the Treadway Commission) : www.coso.org

• IFACI (Institut Français de l’Audit et du Contrôle Interne) : www.ifaci.com

• ISACA (Information Systems Audit and Control Association) : www.isaca.org

• ISO (Organisation Internationale de Normalisation) : www.iso.org

• ITIL (Committee of Sponsoring Organizations of the Treadway Commission) : www.itil.co.uk

• PMI (Project Management Institute) : www.pmi.org

• SEI (Software Engineering Institute) : www.sei.cmu.edu

• Site dédié à l’audit des systèmes d’information www.theiia.org/itaudit

• Audit Net, site dédié au partage de connaissance des auditeurs www.auditnet.org

• CNCC Compagnie Nationale des Commissaires aux Comptes www.cncc.fr

44