mercredi 10 décembre 2014

IT Due Diligence: Checklist VS questionnaire et visite sur site

Questionnaire-2-400

Dans le cas d’une Due Diligence pour acquisition, l’analyse de la partie informatique est une des composantes de ce travail, comme nous l’avons vu dans un précédent message:

Il existe différentes options possibles pour effectuer ce travail, dont la plus facile reste la liste excel préremplie. Différentes entreprises proposent d’ailleurs des versions préparées que vous pouvez utiliser telle quel:


Checklist ExcelQuestionnaire-200

Cette liste une fois validée en interne est envoyée au contact de l’entreprise auditée, qui devra alors remplir cette liste selon sa compréhension de la question. Une fois le fichier retourné, l’auditeur IT devra l’analyser pour en interpréter une nouvelle fois la réponse fournie par le contact local.

Tout le problème se trouve à ce stade dans cette différence de compréhension, ainsi ce  modèle checklist demande plusieurs niveaux successifs d’analyse:

  • Fournisseur de la checklist de base
  • Créateur de la checklist qui sera utilisée pour l’audit
  • Contact local pour le chargement des données dans cette liste
  • Analyse finale des résultats retournés

Chacune de ces étapes biaise le résultat en rapport à la réalité. Les fichiers Excel magiques disponibles sur Internet ne permettent pas la correction de ces biais, malgré la promesse d’une génération de rapport et d’aide à la décision immédiate basée sur les valeurs remplies.


Questionnaire et visiteIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS6_low-res-200

La vision du questionnaire semble similaire à la checklist mais avec un travail d’analyse plus poussé de la part de l’auditeur et de simplification pour l’audité.

Le questionnaire envoyé au contact est tout d‘abord beaucoup plus ouvert dans la typologie des questions, avec un nombre de questions plus léger afin d’ammener rapidement un mode collaboratif dans le travail. Plus le nombre de questions à remplir est grand, plus le sentiment de lassitude est important pour l’audité, de plus l’IT n’est qu’une des parties de l’évaluation.

Il faut aussi garder en tête que la personne de contact pourra potentiellement devenir un de vos collègues si l’acquisition est confirmée et donc elle mérite le même respect que vous accordez à ceux-ci. Ce type de travail ne doit pas se faire en mode “Bad Cop” qui apportera un jugement trop facile.

Ainsi, une fois ce questionnaire rempli par le contact, le travail d’analyse peut commencer et se jouer en plusieurs étapes:

  • Analyse des données brutes
  • Entretien téléphonique, si vous avez des réponses au contenu à éclaircir
  • Visite sur le site (ou sur un des sites)
  • Analyse de l’ensemble des données connectées
  • Génération et transmission du rapport au comité de décision

La visite sur site est nécessaire pour bien faire la corélation entre les informations fournies dans le questionnaire et la réalité, pas comme un contrôle ou de recherche de vérité, mais plus simplement comprendre d’oû vient chaque choix effectué par l’entreprise.


Illustration par un cas classiquegestion-operationnelle-200

Prenons un exemple simple, une TPE experte dans un domaine très pointue mais qui ne requière pas de matériel informatique spécifique va se contenter de matériel (PC, Notebook, …) disponible dans le commerce classique qui sera alors acheté au besoin. Elle stockera ses données internes dans un simple NAS qu’on trouve dans le même commerce.

  • Est-ce que ce type de situation peut être réellement compris à travers une checklist ?

En revanche, l'analyse des données du questionnaire avant la confrontation permet aussi de comprendre et d’évaluer le gap entre la situation de la TPE au jour de l’analyse et la situation vers laquelle il faudra aller une fois l’acquisition effectuée.

  • Changement et rationalisation du matériel (matériel clone et spare)
  • Evolution des postes utilisateurs
  • Upgrade ou Downgrade des licenses users
  • Déplacement des systèmes de stockage de données
  • Consolidation des serveurs
  • Migration d’application
  • Migration de la messagerie

Tous ces points peuvent difficilement ressortir d’une liste automatique, car ils seront dépendant de l’existant constaté par l’auditeur IT.


Conclusioncollab2-200

Je conseille bien sur de regarder ce qui est proposé dans ces checklists, mais en conservant un regard critique et en les voyant comme aide pour votre préparation.

Cela ne doit pas remplacer l’analyse humaine, une acquisition reste avant tout une histoire d’hommes qui se rencontrent échangent et partagent une vision pour le bien de leur entreprises respectives.

Romelard Fabrice [MBA Risk Management]

Aucun commentaire:

Enregistrer un commentaire