1. CONTEXTE ET JUSTIFICATION
Établissement Public à caractère Administratif (EPA), l’Institut National de Prévoyance Sociale (INPS) a été créé par la Loi n°61-59/ANRM du 15 mai 1961, abrogée et remplacée par la Loi n°96-004 du 26 janvier 1996. Il assure la protection sociale des travailleurs salariés et indépendants ainsi que les membres non-salariés des professions libérale, artisanale, commerciale et industrielle. Les risques couverts
dans ce cadre sont entre autres :
· Les charges de famille,
· Les accidents de travail et les maladies professionnelles,
· La vieillesse, l’invalidité et le décès.
Pour compléter ces régimes, la loi portant création de l’Institut en confie la gestion d’une action sanitaire et sociale.
Aussi, l’Assurance Volontaire n’a-t-elle pas été instituée par Loi N° 99-047 du 28 décembre 1999 et sa gestion confiée à l’INPS.
Enfin, avec l’avènement de l’Assurance Maladie Obligatoire (AMO), l’INPS a été désigné Organisme de Gestion Déléguée (OGD). A ce titre, il procède à l’immatriculation des assurés, à l’encaissement des cotisations et aux règlements des factures des prestataires conventionnés.
En juillet 2019, l’INPS a connu un changement de gouvernance avec la nomination d’un nouveau Directeur Général. Les présents termes de référence sont élaborés afin d’apporter à la nouvelle Direction un éclairage sur la gestion du système d’information de l’Institution.
En outre, dans son programme d’activités de l’année 2020, l’Institut National de Prévoyance Sociale (INPS) a prévu l’audit de son système d’information. Les présents termes de référence s’inscrivent dans ce contexte afin d’évaluer le Système d’information de l’Institut.
2. OBJECTIF GÉNÉRAL
L’objectif général recherché est permettre de disposer d’une cartographie du système d’information (SI) de l’INPS, qui servira de base pour moderniser et fiabiliser ce SI et d’aider l’INPS à son appropriation. Ceci passera par · L’état des lieux des forces et des faiblesses du système d’information de l’INPS ;
· L’évaluation des plans de développement informatique de l’INPS ;
· La mesure de l’adéquation entre les applications informatiques et les processus métiers ;
· La compatibilité des applications avec les standards informatiques en vigueur ;
· L’évaluation, du projet d’identification biométrique des assurés sociaux.
L’audit devra en outre porter un jugement critique sur la fiabilité, l’intégrité et la sécurité des applications d’une part et d’autre part sur les besoins de recrutement et/ou de formation des informaticiens.
3. OBJECTIFS SPÉCIFIQUES
Aux termes de cette mission, les auditeurs devront :
Se prononcer sur :
• L’état des applications et de leurs enjeux de sécurité (Accès, Niveau de Service, etc.)
• L’état de l’infrastructure et de ses enjeux de sécurité (Protection, Niveau de Service)
• Disponibilité d’un réseau performant et son extension dans les agences ;
• Disponibilité de salle serveur et de site de secours
• Existence de stratégie de haute disponibilité
• Les résultats de projets informatiques
• Apurement du fichier des assurés par l’extraction des doublons ;
• Intranet et la téléphonie IP
• Identification des assurés déjà immatriculés à l’INPS et à l’AMO ainsi que leurs ayants droits ;
• Identification des détenteurs de procurations en vue de leurs enrôlements ;
• Identification des personnes grabataires en vue de leurs enrôlements sur place.
• La pertinence d’un certain nombre de projets informatiques programmés
• Mise en place de la suite E-business Oracle R12 ;
• Production de carte d’assuré biométrique.
Fournir une cartographie du système d’information à travers :
• L’identification des profils métiers
Construire une liste exhaustive des profils métiers au sein de l’INPS.
NB : Utiliser le canevas (REF_PROFIL en annexe) pour la restitution au format Excel
• L’identification des processus métiers
Il s’agit d’identifier et de classifier tous les processus métiers de la structure :
• Identification des verticaux de la structure (ex. Prestation, Assurance, Enquête, Comptabilité, Caisse, etc.) ;
• Pour chaque vertical, identifier et décrire l’ensemble des processus métiers ;
• Indiquer si le processus est totalement, ou partiellement ou pas du tout informatisé;
• Vérifier s’il est consigné dans le manuel de procédure ;
• Si oui identifier le niveau de maitrise du processus (non acquis, encours d’acquisition, acquis, maitrisé)
NB : Utiliser le canevas (REF_PROCESS en annexe) pour la restitution au format Excel
• L’identification des applications
Recenser l’ensemble des applications de la structure:
NB : Utiliser le canevas (REF_APPS en annexe) pour la restitution au format Excel
• L’identification des interfaces
Recenser l’ensemble des interfaces entre applications de la structure:
NB : Utiliser le canevas (REF_INTERF en annexe) pour la restitution au format Excel
• La mesure de la couverture informatique des processus métiers
Il est demandé à l’auditeur de mesurer la couverture des processus métiers (totalement ou partiellement informatisés) par les applications du système informatique.
NB : Utiliser le canevas (REF_INFO en annexe) pour la restitution au format Excel
• L’identification des serveurs
Il s’agit de cartographier de l’ensemble des infrastructures serveurs disponibles :
NB : Utiliser le canevas (REF_INFRA en annexe) pour la restitution au format Excel
• L’identification du schéma d’interconnexion
Il s’agit de fournir un schéma d’interconnexion des différentes unités d’organisation de la structure.
Ainsi il faudra relever :
Pour chaque site
• S’il dispose d’un LAN local
• S’il dispose d’une route vers l’internet
• Si c’est une structure déconcentrée, est-elle liée à la direction générale à Bamako.
Si oui qu’elle est la nature de cette liaison (Technologie, Débit)
• Description du backbone (si existant)
• Type de Support
• Prestataire de service (si applicable)
Pour chaque liaison inter site
• S’il dispose d’un LAN local
• S’il dispose d’une route vers l’internet
• Nature la liaison
• Débit
• Taux de disponibilité
• Type de Support
• Prestataire de service (si applicable).
NB : L’audit devra être mené en conformité avec les normes internationales d’audit.
4. PERIMETRE ET DURÉE DE LA MISSION
La mission portera sur les structures implantées dans le District de Bamako et couvrira cinq (5) Directions Régionales (Kayes, Koulikoro, Sikasso, Ségou et Mopti).
La durée de la mission est de deux mois soit soixante (60) jours calendaires à compter de la date de signature du contrat de prestation.
Le calendrier définitif de la réalisation devra être communiqué à l’INPS par le cabinet.
5. RAPPORTS
Le cabinet fournira en format électronique un classeur Excel comprenant les différentes matrices et déposera pour observations et amendements, les rapports provisoires ci-après en trois (3) exemplaires :
• Un rapport sur le diagnostic réalisé ;
• Un rapport de synthèse.
• L’INPS disposera d’un délai de dix (10) jours pour communiquer ses observations.
Le Cabinet disposera également d’un délai de dix (10) jours pour prendre en compte les observations et déposer à l’INPS les rapports définitifs en cinq (5) exemplaires.
6. PROFIL DE L’AUDITEUR ET PERSONNEL CLÉ
Le Consultant doit être un Cabinet d’Audit et/ou d’Informatique indépendant, faisant profession habituelle d’audit des systèmes d’information et ayant une expérience confirmée en audit informatique.
Le personnel clé de la mission devra comporter :
(i) Un architecte des systèmes d’information, Directeur de mission, justifiant d’au moins (10) années d’expérience professionnelle et ayant exécuté au moins deux (2) missions d’audit au cours des cinq (05) dernières années ;
(ii) un Ingénieur informaticien spécialiste en développement d’application disposant des connaissances solides sur la base de données ORACLE, justifiant d’au moins trois (3) années d’expérience de pratique professionnelle ayant exécuté au moins une mission d’évaluation de système d’information et être capable de faire des tests d’intrusion ;
(iii) un Ingénieur informaticien spécialiste en réseaux disposant des connaissances solides dans la conception et le déploiement de réseau de grande envergure, justifiant d’au moins trois (3) années d’expérience de pratique professionnelle ayant exécuté au moins une mission d’évaluation de système d’information et être capable de faire des tests d’intrusion ;
(iv) Un auditeur de formation, niveau BAC + 5 ou équivalent en audit, comptabilité et justifiant d’une expérience professionnelle d’au moins cinq (05) années.
L’INPS lance la présente manifestation d’intérêt pour le recrutement d’un consultant chargé de l’audit du système d’information de l’INPS du 1er Janvier 2015 au 31 Décembre 2019.
Les candidats qualifiés seront ensuite admis à participer à la Demande de Proposition organisée pour sélectionner le consultant chargé de réaliser les prestations attendues pour une période de 60 jours calendaires.
Le candidat fournit un dossier comprenant :
– Une note de concept sur la problématique, objet de la manifestation d’intérêt (un maximum de 03 pages) …….. ……………..30 points;
– Une présentation succincte du bureau: situation juridique et domaines d’activités en rapport avec le sujet……………30 points (voir le personnel clé de la mission au point 6 de l’avis : profil de l’auditeur et personnel clé) ;
– Capacité technique : au moins deux marchés similaires attestées par des documents permettant de justifier sa capacité à exécuter le marché dans les règles de l’art…………………………………….30 points;
– Les documents qui prouvent que le candidat est à jour de ses obligations fiscales et parafiscales ……………………………10 points.
Le dossier de manifestation d’intérêt ainsi constitué doit être déposé au Secrétariat particulier du Directeur Général de l’INPS, au 3ème étage de l’immeuble de la Direction Générale sise Square Patrice Lumumba, au plus tard le Mardi 23 Juin 2020 à 13 heures sous pli fermé.
L’ouverture des plis aura lieu le Mardi 23 Juin 2020 à 13 heures dans la salle du Conseil d’Administration de l’INPS en présence des candidats qui le souhaiteront.
Les six candidats les mieux placés seront par la suite invités à faire des offres techniques et financières sur la base des Termes De Référence (TDR) définitifs qu’ils recevront à cet effet.