mercredi 10 décembre 2014

IT Due Diligence: Checklist VS questionnaire et visite sur site

Questionnaire-2-400

Dans le cas d’une Due Diligence pour acquisition, l’analyse de la partie informatique est une des composantes de ce travail, comme nous l’avons vu dans un précédent message:

Il existe différentes options possibles pour effectuer ce travail, dont la plus facile reste la liste excel préremplie. Différentes entreprises proposent d’ailleurs des versions préparées que vous pouvez utiliser telle quel:


Checklist ExcelQuestionnaire-200

Cette liste une fois validée en interne est envoyée au contact de l’entreprise auditée, qui devra alors remplir cette liste selon sa compréhension de la question. Une fois le fichier retourné, l’auditeur IT devra l’analyser pour en interpréter une nouvelle fois la réponse fournie par le contact local.

Tout le problème se trouve à ce stade dans cette différence de compréhension, ainsi ce  modèle checklist demande plusieurs niveaux successifs d’analyse:

  • Fournisseur de la checklist de base
  • Créateur de la checklist qui sera utilisée pour l’audit
  • Contact local pour le chargement des données dans cette liste
  • Analyse finale des résultats retournés

Chacune de ces étapes biaise le résultat en rapport à la réalité. Les fichiers Excel magiques disponibles sur Internet ne permettent pas la correction de ces biais, malgré la promesse d’une génération de rapport et d’aide à la décision immédiate basée sur les valeurs remplies.


Questionnaire et visiteIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS6_low-res-200

La vision du questionnaire semble similaire à la checklist mais avec un travail d’analyse plus poussé de la part de l’auditeur et de simplification pour l’audité.

Le questionnaire envoyé au contact est tout d‘abord beaucoup plus ouvert dans la typologie des questions, avec un nombre de questions plus léger afin d’ammener rapidement un mode collaboratif dans le travail. Plus le nombre de questions à remplir est grand, plus le sentiment de lassitude est important pour l’audité, de plus l’IT n’est qu’une des parties de l’évaluation.

Il faut aussi garder en tête que la personne de contact pourra potentiellement devenir un de vos collègues si l’acquisition est confirmée et donc elle mérite le même respect que vous accordez à ceux-ci. Ce type de travail ne doit pas se faire en mode “Bad Cop” qui apportera un jugement trop facile.

Ainsi, une fois ce questionnaire rempli par le contact, le travail d’analyse peut commencer et se jouer en plusieurs étapes:

  • Analyse des données brutes
  • Entretien téléphonique, si vous avez des réponses au contenu à éclaircir
  • Visite sur le site (ou sur un des sites)
  • Analyse de l’ensemble des données connectées
  • Génération et transmission du rapport au comité de décision

La visite sur site est nécessaire pour bien faire la corélation entre les informations fournies dans le questionnaire et la réalité, pas comme un contrôle ou de recherche de vérité, mais plus simplement comprendre d’oû vient chaque choix effectué par l’entreprise.


Illustration par un cas classiquegestion-operationnelle-200

Prenons un exemple simple, une TPE experte dans un domaine très pointue mais qui ne requière pas de matériel informatique spécifique va se contenter de matériel (PC, Notebook, …) disponible dans le commerce classique qui sera alors acheté au besoin. Elle stockera ses données internes dans un simple NAS qu’on trouve dans le même commerce.

  • Est-ce que ce type de situation peut être réellement compris à travers une checklist ?

En revanche, l'analyse des données du questionnaire avant la confrontation permet aussi de comprendre et d’évaluer le gap entre la situation de la TPE au jour de l’analyse et la situation vers laquelle il faudra aller une fois l’acquisition effectuée.

  • Changement et rationalisation du matériel (matériel clone et spare)
  • Evolution des postes utilisateurs
  • Upgrade ou Downgrade des licenses users
  • Déplacement des systèmes de stockage de données
  • Consolidation des serveurs
  • Migration d’application
  • Migration de la messagerie

Tous ces points peuvent difficilement ressortir d’une liste automatique, car ils seront dépendant de l’existant constaté par l’auditeur IT.


Conclusioncollab2-200

Je conseille bien sur de regarder ce qui est proposé dans ces checklists, mais en conservant un regard critique et en les voyant comme aide pour votre préparation.

Cela ne doit pas remplacer l’analyse humaine, une acquisition reste avant tout une histoire d’hommes qui se rencontrent échangent et partagent une vision pour le bien de leur entreprises respectives.

Romelard Fabrice [MBA Risk Management]

mardi 25 novembre 2014

IT Due Diligence : Questionnaire standard pour l’évaluation d’un projet interne

BSY_007

Je vous ai proposé dans les précédents modèles comment préparer deux types de mission :

Il reste encore un cas très classique dans ce milieu qui exige une approche différente.

En effet, la Due Diligence de projet implique une mission en interne et donc directement en relation avec des collègues, qu’ils soient proches ou éloignés. Il est ainsi impossible de lancer ce type de mission comme pour une entreprise externe, car quelque soit la situation exigeant la mission, il faut conserver une certaine neutralité.

Le questionnaire sera donc volontairement plus léger pour ne pas brusquer les personnes en charge du projet, car il faut les garder avec une pensée positive.

Le but final est toujours le même:

  • Rester concentré sur le besoin client

Partie 1: Processus organisationnelOrganisation_pyramidale_transversale-300
  • Contrats relatifs au projet (avec le client, les partenaires ou les fournisseurs) ?
  • Processus de validation des fonctionnalités de l’application en interne ?
  • Processus de validation des fonctionnalités de l’application par le client ?
  • Diagramme organisationnel du projet ?
  • Liste des fournisseurs pour les composants (ou outils) utilisés dans le cadre du projet ?
  • Processus de validation des composants externes ?

Partie 2: Application et composantsTechnologies-Dev-200
  • Combien d’infrastructures sont en places pour ce projet et le rôle de chacune (DEV, TEST, UAT, EUT, PRE-PROD, PROD, …) ?
  • Combien d’applications sont inclues dans la solution globale et description de chacune ?
  • Composants matériels (et logiciels associés) installés par l’équipe en charge du projet ou par un fournisseur (Clé USB, Capteurs, caméra, …) ?
  • Composants utilisé dans le cadre de la solution (matériel ou logiciel) avec la description de chacun ?
  • Source de chaque composant, acheté sur le marché ou issu d’un développement spécifique ?

Partie 3: Gestion opérationnellecollab2-200
  • Les serveurs et composants sont gérés par un fournisseur, un partenaire, l’équipe en charge du projet ou le client (Mises à jour du système, patchs applicatifs, tâches de maintenance, etc. …) ?
  • Qui est en charge du matériel et des serveurs au niveau technique (installation, configuration, …) ?
  • Gestion du changement mise en place pour les versions des applications ?
  • Mise en place d’une équipe de support pour les applications ou la solution ?

Partie 4: Architecture techniquearchitecturetechnique-200
  • Composants matériels installés ?
  • Schéma de l’installation informatique du projet ?
  • Procédures de sauvegarde et restauration, période de rétention des sauvegardes ?
  • Plan de Disaster Recovery (ou plan de maintien des affaires) ?
  • Pour chaque serveur:
    • Quel système d’exploitation et quelle version ?
    • Ou est-il placé physiquement ?
    • A quel réseau est-il connecté ?
    • Est-il possible de s’y connecter depuis nos bureau ou est-il dans un réseau privé (ou celui du client) ?
    • Est-il possible de se connecter sur ceux-ci en mode administrateur ?
  • Quel type de base de données est utilisé ?
  • Quel moteur de base de données, quelle version exacte et dans quelle langue ?
  • Combien de bases de données sont utilisées et les tailles approximatives ?

Partie 5: Architecture des applicationsArchitecture-Applicative-200
  • Nombre de couche pour chaque application de la solution (Présentation, Application, Database, etc. …) ?
  • Quel langage est utilisé pour chaque module (version et composants utilisés) ?
  • Quel type de mode de développement est utilisé pour le projet (Agile, SCRUM, etc. …) ?
  • Quel type de système de contrôle des sources est utilisé (TFS, Github, SourceSafe, etc. …) ?
  • Version installée (Alpha, Beta, final, …) de chaque module de l’application à chaque niveau pour la production ?
  • Version installée (Alpha, Beta, final, …) de chaque module de l’application à chaque niveau pour la non-production (DEV, TEST, UAT, …) ?
  • Est-il possible d’avoir un compte dans l’applications pour évaluer celle-ci ?

Partie 6: Documentation et formationgestion-operationnelle-200
  • Existe-t’il des documentations pour les utilisateurs et administrateurs avec captures d’écran (docuemntation de formation par exemple) ?
  • Existe-t’il une équipe de formateurs ?
  • Les formations sont-elles enregirstrées ?
  • Existe-t’il une équipe de support pour l’application ?

Partie 7: Situation actuelleSituationActuelle-200
  • Parties manquantes de la solution (matérielle ou applicative) ?
  • Quelle modules du projet ne sont pas encore terminés ?
  • Niveau de la relation:
    • avec les clients ?
    • avec les fournisseurs ?
    • avec les partenaires ?
  • Niveau de satisfaction de l’application par les utilisateurs ?

Conclusion

De la même façon que pour les précédents questionnaires, il ne s’agit ici que d’un fil conducteur. Certains projets vous demanderont beaucoup plus de détails et d’autres seront beaucoup plus simples.

Le but de ce type de mission n’est pas de donner des bons ou mauvais points, mais bien d’aider l’ensemble des parties prenantes à trouver la meilleure solution possible afin d’obtenir le résultat attendu. Ce résultat doit aussi rester associé avec les contrats signés.

Si vous avez des questions manquantes, n’hésitez pas à les ajouter en commentaire.

Romelard Fabrice [MBA Risk Management]

mardi 11 novembre 2014

IT Due Diligence : Questionnaire standard pour l’évaluation d’un fournisseur de solution IT

IT_evaluation
Un précédent message nous a donné un exemple de questionnaire pour les évaluations d’entreprises ou de filiales:
Une évaluation de fournisseur technologique est à prendre tout autant au sérieux dans le monde professionnel. Il faut toujours garder à l’esprit qu’on ne choisit pas un progiciel comme on achète un jeu vidéo. En effet, une application choisie par une ligne de business peut être :
  • Une source de gains et de différenciation positive
  • Un gouffre financier et un calvaire à utiliser ou vendre
L’objectif de ce type de questionnaire préparatoire est de détecter le niveau technique du fournisseur éventuel à travers la qualité des réponses fournies.
Comme pour la liste du message précédent, je vous donne un exemple qui doit être adapté à votre besoin en étant enrichi ou nettoyé.
Il faut aussi préciser que ce questionnaire est volontairement limité en nombre de questions, car de même que pour les acquisitions, il est préférable de ne pas démarrer ce processus en donnant une image négative, surtout si l’éditeur doit devenir un partenaire à long terme.

Partie 1: EntreprisePeople_insert-200
  • Profil de l'entreprise à fournir, y compris:
    • statut juridique
    • de noms et % de part
    • nombre de salariés et leurs rôles
    • les dernières années de chiffre d’affaires
    • le financement
    • l'histoire des propriétaires
    • les partenaires techniques et commerciales
  • Rôles des employés clés (CV de chaque employé clé à fournir)
  • Y a-t-il des actionnaires qui ne sont pas employés et / ou qui ne travaillent pas directement pour l'entreprise ? (Nombre de salariés, % de parts)
  • Pas de changement prévisible dans l’actionnariat ?
  • Aucun employé clé en partance ?
  • Aucun privilège sur les actions ?
  • Quel est le niveau de compétences croisées de votre entreprise ?
  • La  société déjà été auditée ?
  • La société déjà été certifiée?
  • Combien de projets sont actuellement en cours dans votre entreprise ? Quels types de projets ?
  • Quelle est la stratégie d'expansion prévu pour les 5 prochaines années ?

Partie 2: Technologies et outils de développementTechnologies-Dev-200
  • Base de données: Donnez l’éditeur, l’architecture, l’OS, la dépendance au vendeur, la portabilité, le nombre d’indexes
  • Pouvez-vous donner le modèle de la base de données? (Si oui, merci de le fournir avec votre réponse)
  • Serveur d'application: fournisseur, version actuelle, OS
  • Framework de développement (ex. Java Struts, etc. …)
  • Énumérer tous les logiciels nécessaires du point de vue de l'utilisateur final (niveau de compatibilité du navigateur, plug-ins, des logiciels tiers, OS, etc. …)
  • Décrire la configuration matérielle minimale pour faire fonctionner votre logiciel (type de PC, mémoire minimale requise, imprimantes, etc. …)
  • Énumérer tous les outils de développement (IDE, déploiement, conception, etc. …)
  • Comment votre équipe de développement est-elle organisée ?
  • Quels sont les outils de gestion de projet et le contrôle des sources que vous utilisez ? (Source sécurité, suivi des bogues, workflow, etc. …)
  • Quel outil de méthodologie utilisez-vous  (cas d'utilisation, etc. …) ?
  • Quels sont les évolutions prévues pour vos outils de développement et les technologies de votre logiciel ?
  • Que faites-vous pour la veille technologique?

Parties 3: Informatique mobile et équipement personnel de l'utilisateur finalMobiles-200
  • Décrire les caractéristiques du matériel supporté par l’application
    • modèles
    • les caractéristiques de robustesse
    • OS
    • RAM nécessaire
    • des capacités intégrées telles que le GPS
    • des moyens de communication
    • etc. …

Partie 4: A propos du logicielplatform-cloud-apps-logo-200
  • Comment le développement de votre logiciel a commencé ? (Background)
  • Combien de clients ont acheté vos solutions jusqu'à maintenant ?
  • Si possible, fournir 2 références client. Pouvons-nous communiquer avec eux?
  • Comment votre architecture est évolutive ?
  • Décrivez votre architecture logicielle (si possible avec un schéma)
  • Environ, combien de “jours-homme” ont été nécessaires pour développer votre application ?
  • Votre produit est développé “from scratch”, ou provient-il d'une autre solution (ou produit) ?
  • Quel type de documentation technique avez-vous ? Peut-elle être fournie ?
  • Combien de classes existent dans votre application ?
  • Quel pourcentage de votre solution est mise en œuvre au niveau du serveur de base de données ? (Procédures stockées, triggers, moteur de base de données exclusif, etc. …)
  • Où sont stockés les paramètres de l'application (fichiers XML, bases de données, fichiers de configuration, etc. …) ?
  • Décrire à quel niveau votre logiciel peut être paramétré par les utilisateurs finaux eux-mêmes
  • Décrire les fonctionnalités de reporting de votre solution
  • Est-ce qu’un outil décisionnel peut être branché sur votre base de données ? (Cognos Impromptu, Business Objects, les solutions Oracle ou Microsoft etc. …)

Partie 5: Propriété Intellectuelle et Savoir-FaireCompany_data-200
  • Énumération de toutes les licences nécessaires pour le logiciel (votre logiciel, composants tiers, etc. …). Décrire également sous quel type de licence chaque produit est autorisé ?
  • La conformité totale avec toutes les licences ? (copie de licence ou accord qui doivent être demandé)
  • La pleine propriété de la Propriété Intellectuelle (sans privilèges) et / ou des droits requis pour obtenir une licence ?
  • Votre logiciel est-il protégé par des marques déposées ?
  • Aucune option sur la propriété Intelletuelle accordée à un tiers ?
  • Aucune réclamation existante (ou menaces) par un tiers sur la Propriété Intellectuelle ?
  • Transfert de la Propriétaire Intellectuelle en cas de faillite
  • Dans quelles conditions votre code source peut être transmis pour l'entretien ou des adaptations locales ? (ex. sous NDA, à l'exclusion de revente, etc. …)
  • Contrat standard / Conditions Générales / Service Level accords (SLA) à fournir
  • Toutes les Propriétés Intellectuelles dans le développement et la documentation spécifique à acquérir immédiatement

Partie 6: Déploiement et installationprocesses-200
  • Décrivez votre kit de déploiement et la solution associée
  • Décrivez votre environnement de mise en place et le processus de livraison pour les nouvelles versions
  • Décrivez votre souplesse lors de déploiement de nouvelles versions / mises à jour / correctifs / patches (Complexité, description des packages de ressources tels que EAR / WAR / fichiers JAR, les installations de mises à jour à distance, les déploiements à chaud, etc. …)

Partie 7: HébergementFlashing-Lights-200
  • Quelles sont les solutions d'hébergement que vous pouvez offrir ?
  • Indiquez l'emplacement de vos serveurs et Centre de calcul
  • Garantie sur la propriété des données (même sur le cas de la faillite, de force majeure, etc. …)
  • Séparation des données des données entre les différents clients
  • Restauration complète des données et la transmission de données (sans frais supplémentaires)
  • Décrivez vos procédures de sauvegarde actuelles (à la fois pour les données de l'entreprise et vos clients)
  • Proposition d'une stratégie totale d'hébergement (y compris si vous pouvez offrir l'hébergement sur place et hors site, la sauvegarde hors site, le plan DRP, les “reverse proxys”, etc. …)

Partie 8: Support et maintenanceIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS6_low-res-200
  • Quels services pouvez-vous fournir en terme de support et maintenance ?
  • Coût standard de support et la maintenance du système sous un contrat de licence ?
  • Expliquez vos processus de support en place
  • Décrire de quelle manière vous pouvez apporter un soutien aux utilisateurs d’un pays différent (multilangue, multizone horaire, etc. …) ?
  • Avez-vous d'accord avec le principe des niveaux de service avec les crédits de service ?

Partie 9: SécuritéTechnologyComponents-200
  • Travaillez-vous en respectant les règles de l’art d’un environnement IT ?
  • Décrivez votre protection anti-virus (Pour les postes de travail et serveurs)
  • Décrivez la protection anti-intrusion de votre réseau
  • Décrivez la protection anti piratage de votre application (injection SQL, etc. …)
  • Etes-vous d’accord pour que notre responsable sécurité visite vos bureaux et vos installations ?
  • Appliquez-vous le cryptage HTTPS ? Si oui, décrire les modules de communication qui sont cryptés et une énumération des certificats SSL utilisés
  • Tenez-vous compte des modifications apportées par les utilisateurs ? Sur votre logiciel et / ou ordinateur manipulé ? Quels détails de données sont stockés ? Où sont-ils stockés ? (Dans les fichiers journaux, base de données, etc. …)
  • Votre code source est crypté et protégé contre le “reverse ingeneering” ?

Partie 10: Assurance et Responsabilitécontracts-200
  • Avez-vous une assurance pour couvrir la perte potentielle de données ?
  • Le respect permanent de la réglementation (en particulier avec la réglementation des données personnelles) ?
  • Aucune exclusion ou limitation de responsabilité pour l'utilisation des sous-traitants ?

Partie 11: Ressources Humainespresentation-200
  • Combien de ressources (100%) dédiées peuvent être affecté au projet ? (Décrire leurs rôles)
  • Envisagez-vous des embauches pour ce projet ?
  • Combien de personnes avez-vous envisagez d'embaucher en 20XX (en dehors de ce projet) ?
  • Quel est le nombre de prestataires et stagiaire présents ?
  • Accords NDA en place avec les employés et les sous-traitants ?
  • Envisagez-vous de sous-traiter ou externaliser une partie du projet ? Si oui, décrivez où

Partie 12: Gestion de projet et questions contractuelles clésIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS5_low-res-200
  • Pouvez-vous envisager de travailler avec des délais de livraison ?
  • Aucun coût pour la correction de bugs au cours de la phase de tests et d'acceptation. Etes-vous d'accord avec ce principe ?
  • Le retard ou l’échec de livraison peut déclencher des sanctions. Etes-vous d'accord sur le principe ?
  • Exemple de la planification pour un projet de mise en œuvre à fournir
  • Quelles sont vos modalités de paiement ?

Partie 13: Modalités de résiliationQuestionnaire-200
  • Pour plus de commodités, seulement avec un préavis de 30 jours
  • En cas d'infraction de Propriété Intellectuelle
  • En cas de livraison tardive
  • En cas de non-respect des SLA


Conclusion

Comme vous pouvez le constater, le nombre de questions est assez important et les sujets sont riches. Il est de votre responsabilité de prendre, parmis cette liste, celles qui sont adaptées à votre contexte. En effet, certains éditeurs peuvent être récalcitrant dans la fournitures de toutes ces informations (cas des Start-up par exemple). De plus, vous pouvez ajouter des questions supplémentaires adaptées à vos besoins.
Si vous voulez partager vos idées, je vous invite à les ajouter en commentaire.
Romelard Fabrice [MBA Risk Management]

lundi 10 novembre 2014

IT Due Diligence : Questionnaire standard de préparation d’audit–Asset Management

Questionnaire

Cette question de préparation est très certainement la plus courante dans ce type de mission.

En effet, les missions de Due Diligence sont toujours courtes. Ainsi, plus la préparation en amont est bien effectuée, plus le travail sur place sera intéressant et concentré sur les vraies questions de fond.

Nous verrons à travers plusieurs messages à venir les différents questionnaires possibles.

Attention: Il est évident que ce seront toujours des trames que vous pouvez agrémenter selon vos propres besoins.


Asset Management

Avant de commencer, le contexte de ce type de questionnaires est très axé sur la propriété et sur les “Assets” de l’audité. Le but est d’appréhender au mieux la situation matérielle avant son arrivée sur site.

Ainsi, ce cadre est utilisable dans les situations d’évaluation d’entreprise avant acquisition par exemple ou pour l’audit d’une filiale (ou encore d’un bureau).


Partie 1: Présentationpresentation
  • Présentation de l’entreprise
    • Nom de l’entreprise
    • Adresse
    • Description courte
  • Présentation de l’organisation
    • Nombre d’employés de l’entreprise
    • Nombre d’employés IT
      • Employés plein temps
      • Consultants
      • Temps partiels
    • Organigramme du département IT (avec toutes les parties précités)
    • Budget IT
      • Coûts totaux pour l’année précédente
      • Coûts actuels pour l’année en cours

Partie 2: Infrastructureit_infrastructure
  • Type de réseau de communication utilisé (Diagramme du WAN ou LAN si possible)
  • Gestion du réseau de communication internalisée ou externalisée
  • Oû sont placés les principaux serveurs de l’entreprise
  • Equipements IT de l’entreprise achetés ou loués
  • Gestion des équipements internalisée ou externalisée
  • Type de plateforme utilisée en production (Windows, Linux, Novel, …)
  • Stratégie de backup en place

Partie 3: Applicationsapplications
  • Système de messagerie (Email)
    • Système en SaaS ou OnPremise
    • Quelle produit et quelle version
    • Gestion des environnement internalisée ou externalisée
  • Système de gestion financière
    • Système en SaaS ou OnPremise
    • Quelle produit et quelle version
    • Gestion des environnement internalisée ou externalisée
  • Système de gestion des ressources humaines et de gestion des payes
    • Système en SaaS ou OnPremise
    • Quelle produit et quelle version
    • Gestion des environnement internalisée ou externalisée
  • Applications métier
    • Système en SaaS ou OnPremise
    • Quelle produit et quelle version
    • Gestion des environnement internalisée ou externalisée

Partie 4: Liste de matériel

DESKTOP

BRAND MODEL OS RUNNING ACQUISITION YEAR
       
       
       

LAPTOP

BRAND MODEL OS RUNNING ACQUISITION YEAR
       
       
       

WORKSTATION (Connected to specific material)

BRAND MODEL OS RUNNING ACQUISITION YEAR
       
       
       

SERVER

BRAND MODEL OS RUNNING ACQUISITION YEAR
       
       
       

COMPANY MOBILE PHONE

BRAND MODEL OS RUNNING ACQUISITION YEAR
       
       
       

Partie 5: Contratscontracts

Gestion des licenses

  • Windows Clients
  • Office Clients
  • Windows Server
  • DataBase Server

Gestion des garanties et contrats de maintenance

  • Serveurs couverts
  • Desktop couverts
  • Laptop couverts
  • License (cas de la Software assurance pour Microsoft)
  • Matériel spécifique

Gestion des contrats

  • Contrat Téléphonique
  • Contrat d’hébergement de serveurs
  • Contrat avec les prestataires (développeurs ou consultants)
  • Contrat pour le réseau WAN
  • Contrat pour les application SaaS (ex. Office 365)

Partie 6: Remarques ou commentaires éventuels

….


Conclusion

Il ne sert à rien de chercher à envoyer un questionnaire trop détaillé, car le contact local verra cela comme une perte de temps pour lui.

Il faut toujours garder à l’esprit que vous faites une Due Diligence pour donner un regard neutre sur une situation et donc la frontière entre la “neutralité” et le “jugement” est très fine durant cette phase.

Une fois les réponse de ce questionnaire obtenues, il vous faut les traîter pour relever les points à approfondir, mais cela sera le sujet d’un prochain message.

Romelard Fabrice [MBA Risk Management]

lundi 6 octobre 2014

Formation: Comment communiquer celle-ci lors d’un recrutement

recrutement-candidats-marketing

L’époque faste où les entreprises se battaient pour recruter les jeunes diplômés de MBA est passée, à moins de sortir de très grandes écoles. Ainsi pour tous les autres, la question de la mise en avant de cette formation est à gérer.

De nombreux étudiants changent de poste ou d’entreprise durant la formation voire juste après celle-ci, et de ce fait valorisent la formation lors de ce changement.


Trouver le fil rouge de votre carrièrefil-rouge

Ceux qui ne sont pas dans cette situation doivent réfléchir à leur parcours et trouver un axe directeur. Ainsi, depuis le début de l’aventure, la remise en question est continue et ne s’arrête pas une fois que les deux années sont écoulées, il faut poursuivre ce questionnement sur son avenir professionnel.

Sans vouloir généraliser ou simplifier à outrance, deux grands cas de figure sont possibles :

  • Soit vous êtes encore en poste dans votre entreprise et n’avez pas changé de poste
  • Soit vous n’avez plus d’activité professionnelle et cherchez comment trouver le meilleur poste adapté à vos envies

Il faut commencer par tordre le coup à une idée reçue, vous n’êtes pas extraordinaire et les recruteurs ne se battront pas pour vous trouver. Votre carrière est dans vos mains et seul vous pouvez définir comment impulser ce changement. Cette formation intense vous a toujours poussé à sortir de votre zone de confort et cela doit se diffuser sur votre activité professionnelle.


L’évolution en interneEvolutionCarriere

Ainsi pour ceux qui sont dans le premier cas et souhaitent rester dans la même entreprise, il faut lancer ce changement en vous faisant connaître en interne, dans les départements qui vous intéressent.

En effet, le département RH ne fait que gérer des demandes provenant du business, c’est une fonction de support qui mettra des années avant de réellement appliquer les notions de Talent Management et de proactivité. La notion de plan de carrière n’existe même plus dans un grand nombre d’entreprises. De ce fait, c’est lorsque le business émet un besoin de candidat que ce département se mettra en chasse. Il ne faut donc pas s’attendre à ce qu’il pensent à vous, car, soyons clair, vous ne serez jamais le candidat adapté au profil souhaité. Celui-ci sera toujours un mouton à cinq pattes, sans doutes en provenance du Larzac.

Un second détail, ne vous attendez pas à recevoir d’aide de votre manager, car sauf cas exceptionnel, celui-ci préfère vous avoir au poste que vous occupez, plutôt que de vous voir partir et devoir vous remplacer. Il n’aura donc aucun intérêt à vous promouvoir ailleurs, puisque si vous bougez, non seulement il perdra un bon élément, mais il risque aussi de ne pas pouvoir vous remplacer, car votre changement pourra être accompagné d’une suppression de poste dans son unité. Il perdra donc au passage un élément et le pouvoir qui y était associé, la prime avec.

Donc si vous ne voulez pas vous faire promener et passer de désillusion en désillusion, il vaut mieux ne pas attendre leur retour, mais les devancer. Pour cela, il faut sélectionner le département qui vous intéresse et aller à sa rencontre, de manière informelle au départ, discuter avec les employés et les responsables, puis trouver un moyen de travailler avec eux. Ceci aura pour effet de vous faire connaître par les décideurs de ce département, et comment mieux travailler avec ce département qu’en s’y faisant muter. Cela viendra naturellement comme une évidence.

Ce scénario est bien sur théorique, mais il est pourtant très régulièrement exécuté et j’ai rencontré de nombreuses personnes mettant en place cette stratégie au point que le noyautage se faisait dès leur nomination à leur nouveau poste. Ils avaient donc toujours un coup d’avance et changeaient de poste tous les 2-3 ans sans jamais faire appel aux HR, sauf pour l’administratif.


Evolution en externeEvolutionExterne

La seconde situation est bien évidemment plus délicate, car elle implique d’être sans emploi, ce qui est aussi une force. Vous pouvez partir d’une feuille vierge, en commancant par faire un état des lieux et savoir vers où aller. Je ne vais pas faire un sujet sur la recherche d’emploi qui est encore autre chose.

Une fois qu’on a les postes souhaités, il faut trouver une logique, car la question viendra lors de l’entretien et votre formation ne doit pas passer pour un accident de parcours. En gros, il ne faut surtout pas viser le même poste que celui occupé avant la formation.

Je connais une personne à qui un chasseur de tête a demandé de retirer le MBA de son parcours pour répondre à un poste ouvert. Si vous êtes dans ce cas, fuyez, il se moque de vous et ne souhaite que la prime de chasse !

En gros un exécutant ou consultant technique avant la formation, ne doit pas chasser un poste avec la même définition de poste, mais trouver un poste valorisant cette maîtrise initiale tout en ajoutant les avantages du MBA. Il faut penser à des postes de leader technique, référent technique ou manager d’une équipe de consultants. Vous devez pouvoir dire que votre maîtrise technique ou d’exécution s’accompagne désormais de connaissances managériale ou business.

Attention en revanche au choix de votre spécialisation, car celui-ci, comme nous l’avons vu plus tôt, donne une couleur à votre carrière à venir et si vous avez pris une option Entrepreneurship, il sera compliqué pour le recruteur de comprendre votre logique à candidater pour un poste d’exécutant en entreprise.


Apprendre à se vendrePointsForts

Dans les deux cas, il faut apprendre à vous vendre en tirant l’ensemble des points forts de votre carrière passée, les plus évidents comme les plus cachés. Même un éleveur dans le Larzac possède un très grand nombre de qualités techniques et managériales qui doivent être mises en lumière pour évoluer.

La formation suivie ajoute un ensemble de points forts que l’on ne réalise pas forcément durant celle-ci, on y trouve dans le désordre :

  • La capacité d’adaptation rapide
  • La souplesse d’esprit pour naviguer entre toutes les matières de semaine en semaine
  • Le travail d’équipe avec des personnes de toutes origines
  • La capacité de rédaction pour les devoirs de thèse
  • Les soutenances de projet à assurer
  • La charge de travail en parallèle de la vie courante
  • Le travail dans la durée

En faisant la liste détaillée de l’ensemble de vos points forts, vous mettez en avant vos qualités et pouvez valider votre sélection pour le poste convoité.


ConclusionRed path across labyrinth

Tout cela s’ajoute à vos compétences déjà acquises et doivent être mises en avant pour justifier votre candidature au poste souhaité.

Tout comme pour les Start-Up, de nombreux recruteurs ne s’arrêtent pas à un CV ou un business plan mais à une personne ou une équipe.

A vous de jouer et vous vendre comme si votre vie en dépendait, vous ne trouverez pas meilleur vendeur que vous-même.

Romelard Fabrice [MBA Risk Management]

mardi 19 août 2014

IT Due Diligence : Quels outils sont nécessaires pour mener à bien une mission ?

due_diligence_process_when_selling_a_business
Lors des différentes discussions que j’ai eu concernant mes missions, une question revient très souvent:
  • Tu utilises quoi pour ton travail ?
En effet, l’audit est souvent vu comme un ensemble de checklists à compléter, de tableau excel à remplir et autres conformités à respecter. Le fait est que les Due Diligence (selon moi bien sur) n’entrent pas vraiment dans ce contexte.
En effet, le principe de base de la Due Diligence est d’avoir un “regard neuf et neutre”, cela implique forcément le respect du sujet d’analyse et donc ne pas le forcer à entrer dans des cases pré-établies.
Prenons un exemple, un auditeur arrive dans une SSII qu’il doit analyser et va donc dans ce cas sortir ses standards classiques de SSII, mais en oubliant le contexte général autour du sujet étudié :
  • Dans quel pays, dans quelle région ?
  • Quel est le marché local, régional ou mondial ?
  • Est-elle dans une grande ville ou en campagne ?
  • Est-elle dans une région risquée ?
  • La SSII a t’elle un secteur de prédilection et si oui quel est il ?
  • Le nombre d’employés et les compétences de chacun ?
Je ne veux pas généraliser sur le cas des auditeurs, et il est évident qu’il en existe de très bons qui font ce travail.
Quoi qu’il en soit, dans le cas de la Due Diligence, toutes ces questions autour du contexte de travail doivent être intégrées dans la préparation de l’analyse. A travers une première série de questionnaires ouverts (éviter le plus possible les questions fermées) qui peuvent être transmises par Email.
L’environnement local et culturel est aussi à prendre en compte, la langue et la population bien sur, mais aussi la perception des locaux des personnes étrangères, car dans de nombreux cas, ce feedback mal appréhendé fait perdre du temps précieux pour une simple question de méfiance. On ne s’adresse pas à un africain comme on s’adresse à un canadien, etc. …
Si on revient à la question initiale quant aux outils nécessaires, je vais être très basique :
  • Etre au moins deux personnes pour qu’il y ait toujours un des deux prenant des notes pendant que le second anime les meetings
  • Un appareil photo pour les visites sur site (bien sur avec l’accord préalable des personnes visitées)
  • Un notebook connecté à internet pour la prise de note rapide et un vidéo projecteur
  • Word avec des template de minutes meeting préremplis avant les meeting, afin de gagner du temps pour leur finalisation
  • Un paper Bord pour tous les schémas et draft éventuels
  • Une voix qui tient la route, évitez les climatisation pendant la mission
Pour ce qui est des “auditeurs”, il faut savoir être à l’écoute des personnes interviewées et ne jamais chercher un rapport de force, mais plutôt de confiance ou de partenariat. Ce sont elles qui ont les informations que vous souhaitez collecter et elles seront très fieres de les partager si vous savez respecter leur travail. Il faut aussi garder en tête que les personnes que vous rencontrez prennent de leur temps, que ce soit voulu ou contraint, et cela exige le respect de votre part.
La principale carte à jouer lors de ces missions est l’adaptabilité, car il faut toujours chercher à caler son message pour la compréhension de la personne en façe de soi, que ce soit le Managing Director local ou l’opératrice de saisie. Le principe sous-jacent est de montrer aux personnes auditées que vous les respectez toutes quelque soit le role joué. En procédant de la sorte, il y aura moins de réticence lorsque les questions délicates arriveront sur la table. Vous ne devez pas être vu comme l’ennemi, mais bien comme un partenaire bienveillant.
Pour conclure, une mission de Due Diligence n’est pas une mission automatisable, mais bien une rencontre entre différentes personnalités qui ont toutes une individualité à respecter.
Romelard Fabrice [MBA]

mercredi 6 août 2014

Formation : Bilan du suivi de cours en ligne, les MOOC


MOOC_poster_mathplourde
A la fin de mon précédent message sur la formation professionnelle et plus particulièrement sur la suite possible à un Executive MBA:
J’ai donc pour ma part poursuivi ce MBA par une formation certifiante en Audit Interne, mais aussi en parallèle plusieurs MOOCs.
Je ne reviendrai pas sur la définition de ce type de formation, pour lequel il existe de très bonnes présentations, telles que les pages suivantes :
Le principe reste toujours le même: Suivre une formation et enrichir ses connaissances à son rythme.


DifférenciationsEquipe

Le protocole et les conditions sont différents suivant les plateformes, mais le point sensible de toutes ces solutions reste le même que pour les cours académiques :
  • L’équipe enseignante
En effet, la transmission du savoir, qu’elle soit en direct ou en différé, passe par un orateur qui devient le vecteur de cet apprentissage.
Ainsi, lorsque le formateur n’est pas à la hauteur, il est  très difficile de suivre correctement sa formation.


Condition Requiseengagement

La différence avec le système de MOOC est dans l’engagement, car étant donné que le cours est souvent gratuit, les candidats tiennent moins bien dans le temps.
Le taux d’abandon est très élevé pour l’ensemble des plateformes. On peut le voir pour Coursera, moins de 10% des candidats vont jusqu’au bout des formations et obtiennent les certificats.


Conseilsconseil

Quoi qu’il en soit, après avoir suivi de nombreuses formations en ligne sur différentes plateformes, voici quelques conseils :
  • Choisir une plateforme gratuite, si vous n’avez pas d’obligation professionnelle
  • Choisir une plateforme vous permettant d’extraire les cours hors ligne
  • Consacrer les temps vides pour ces cours et ne pas essayer de le caser dans un moment déjà occupé
  • Choisir des cours d’introduction ou de survol (sauf si nécessité spécifique) qui vous donne une bonne culture générale et une ouverture d’esprit
  • Ne pas suivre ce cours avec un objectif trop optimiste (ce n’est pas un concours)
  • Essayer de maintenir le coté ludique de la plateforme


Expérienceexperience

J’ai suivi les formations suivantes au cours des 12 derniers mois, dont mes préférés en gras :
Les sujets de ces cours sont très divers et ce sont principalement des introductions à chacune des spécialités.
Pour ma part, je trouve que les MOOC sont totalement adaptés à ce type d’introduction, qui peuvent ensuite déboucher sur une formation plus appronfondie en école lors d’un cursus complet.


Méthodologie appliquée3d metal gear wheel render, on white background

Le principe de base que j’ai appliqué pour ces formations est d’impacter au minimum les heures déjà attribuées à la vie personnelle ou professionnelle.
Ainsi, j’ai exploité au maximum les temps “morts” qui sont pour moi les heures de transport.
Chaque semaine:
  • Téléchargement de la vidéo de cours en mode offline (MP4)
  • Chargement de la vidéo dans la tablette
  • Impression du questionnaire de la semaine pour évaluer le type de question à prévoir
  • Lecture de la vidéo dans les trajets de bus (durant la semaine)
  • Finalisation de la semaine par le questionnaire hebdomadaire
Au bout de l’ensemble des semaines, les modules ont été complétés en toute transparence et le questionnaire final pouvait être travaillé plus en détail.


La suite

Je me suis déjà inscrit à différentes formations sur des sujets très divers et en sélectionnant des cours dont la durée ne dépasse pas 2 mois, car au dela de 8 semaines, on à une mauvaise impression.

J’espère que cela vous aura donné envie de suivre ou poursuivre ces expériences de formation et je vous encourage à regarder régulièrement les plateforme Coursera ou France Université Numérique (FUN) pour découvrir de nouveaux sujets.
Si vous avez d’autres plateformes de MOOC que vous avez pu tester, n’hésitez pas à les poster en commentaire.
Romelard Fabrice [MBA]

lundi 7 juillet 2014

IT Due Diligence : A quoi correspond cette activité ?

due_diligence_process_when_selling_a_business
Avant d’entrer dans le détail, il faut savoir que les missions appelées “Due Diligences” se retrouvent dans de nombreux domaines et la plus connue des “Due Diligences” est liée aux acquisitions d’entreprise.
Quoi qu’il en soit, une “Due Diligence” aussi appelée “Diligence Raisonnable” (en français) est associable à un “regard neuf et neutre”. Il s’agit toujours de faire une analyse d’une situation donnée en essayant de rester objectif autant que possible.
Vous trouverez quelques définitions dans les pages suivantes :
Cette activité se retrouve aussi dans le monde informatique sous le nom “IT Due Diligence”, regroupant plusieurs types de mission différentes dont les principales sont :
  • IT Project Due Diligence
  • IT Supplier Due Diligence
  • Merge & Acquisition IT Due Diligence


IT Project Due DiligenceIT-Project-due-diligence

Cette situation est très courante dans les grandes entreprises qui font développer une solution (en interne ou externe) et observent durant le projet une (ou plusieurs) différence(s) avec le cahier des charges (Budget, temps, relations tendues, …). Cette situation peut aboutir à une catastrophe économique qu’il convient de limiter au plus vite.
A ce moment, l’entreprise qui a lancé le projet peut demander une analyse de ce projet, qui sera effectuée par des auditeurs internes ou externes afin de trouver les problèmes éventuels et de fournir des recommandations pour résoudre ces problèmes.


IT Supplier Due DiligenceDue Diligence Big

Cette situation est différente, car elle concerne un fournisseur potentiel.
Ainsi dans le cas d’une recherche de solution logicielle sur le marché, le client peut demander à des auditeurs d’effectuer une analyse du fournisseur de logiciel éventuel. L’objectif est de garantir la qualité de la solution envisagée pour le moment T, mais surtout pour les années suivantes, car le support d’une solution est souvent le point délicat à gérer.
L’équipe en mission devra alors effectuer une analyse de l’éditeur, du logiciel envisagé et fournir une liste de recommandations associées à cette analyse.


Merge & Acquisition IT Due Diligenceduediligence

Ce cas est plus spécifique aux entreprises qui veulent se développer par croissance externe, ce qui implique d’acheter ou de fusionner avec une entreprise existante. Durant la phase d’étude de l’entreprise, il convient d’effectuer une analyse précise de celle-ci afin d’être certain de sa qualité.
Durant cette phase d’analyse, l’entreprise acheteuse doit aussi étudier la partie informatique de l’entreprise cible afin de valider aussi que celle-ci soit pérenne. Il faut valider le niveau de compétence IT, la qualité des logiciels utilisés, la dépendance aux fournisseurs, l’accord entre les deux structures IT, …
Toute cette analyse donnera un bilan spécifique qui sera ajouté au rapport global de “Due Diligence” permettant aux dirigeant de prendre la bonne décision.
Attention: la sensibilité des informations est au maximum dans ce type de mission, car les Acquisitions peuvent faire jouer les cours boursiers des entreprises en négociation et donc une fuite d’information peut être associée à un délit d’initié (qui est répréhensible pénalement).


Découpage des missions de Due DiligenceimagesCAALKQ6N1

Quelque soit l’objectif de la mission, le planning est quasiment toujours le même et peut être simplifé comme ci-dessous :
  1. Collecte d’information
  2. Analyse et validation des informations retournées
  3. Déplacement sur site pour des entretiens
  4. Analyse des contenus obtenus sur site
  5. Consolidation de l’ensemble des informations
  6. Analyse des risques de la situation
  7. Proposition de recommandations pour limiter les risques constatés
  8. Conclusion de la mission
  9. Suivi des recommandations [optionnel]
Il est évident que le degré de complexité fera varier certaines étapes, et le niveau de confidentialité sera aussi un facteur à prendre en compte dans les étapes.


Temps nécessaire à une missionQuoVadis_Agenda

Une mission de Due Diligence dépend entièrement du sujet associé à la mission et de son contexte (nombre d’intervenants, confidentialité, budget du projet, complexité du projet, …).
Malgré tout, suivant la taille du projet, on peut considérer les temps suivant:
  • Mission simple : de 3 à 6 mois
  • Mission compliquée : > 6 mois
Ce temps comprend de la collecte d’informations à la conclusion de la mission, en effet, le suivi des recommandations fait partie d’une autre mission d’accompagnement qui reste optionnelle.


ConclusionDue-Diligence

Ce message est le premier d’une liste qui permettra de mieux comprendre ces activités qui sont de plus en plus courantes dans les entreprises.
Nous verrons donc au fil des prochains messages différentes phases de certaines missions spécifiques, ce qui vous permettra de mieux appréhender cette activité.
Vous pouvez utiliser les commentaires pour ajouter toute information manquante à cette introduction.
Romelard Fabrice [MBA]