Article

Les conséquences du développement des CSP

sur les pratiques d’Audit Interne

Le développement croissant des Centres de Services Partagés (CSP) comptables répond à plusieurs enjeux :

  • Economique de rationalisation et de standardisation de processus permettant par une massification des flux de réaliser des économies d’échelle substantielles,
  • D’amélioration de la qualité de la production comptable et d’une meilleure qualité de service aux opérationnels,
  • Meilleure maîtrise des processus par le déploiement de procédures de contrôle interne spécifiques et d’outils d’analyse de données qui permettent de mieux lutter contre les risques, notamment d’erreurs et de fraude…,
  • Besoins croissants d’analyse de gestion, que la centralisation des données au sein des CSP facilite, en rendant la donnée disponible, sous un format et d’une qualité homogènes.

L’ampleur que prend le développement de ces CSP, la technologie qu’ils embarquent via la digitalisation des processus, leur robotisation, la palette de plus en plus large des processus qu’ils concentrent (administratif, comptable, contrôle de gestion, ressources humaines, …) en font des structures significatives en termes de taille et sensibles pour ce qui concerne les données traitées.

A ces titres, ils constituent un sujet pour l’Audit Interne qui mérite une réflexion particulière sur la stratégie, l’approche et les travaux d’audit.

En matière de stratégie et d’approche, l’Audit Interne est invité à revoir le périmètre des risques, à prendre en considération et à conduire une réflexion nouvelle sur la pertinence de son « scope » d’audit :

  • De nouveaux risques sont à prendre en considération dans la stratégie d’audit. Le mode de fonctionnement de ces CSP entraîne l’apparition de risques nouveaux (cyber, continuité d’activité de ces processus, non performance, toute la palette de risques associés à l’intelligence artificielle, la répartition des tâches entre les pays et le CSP…) et des risques connus mais dont l’impact augmente fortement (sécurité et intégrité des données, conformité réglementaire liée aux données, fraude et corruption…),
  • Le périmètre de l’audit doit s’appréhender d’une manière nouvelle, plus matricielle entre une couverture géographique et une couverture par processus. Le regroupement significatif de processus au sein de CSP groupe, vide d’une partie de sa substance les pays ou business units qui portaient préalablement ces processus. Aussi, l’approche habituelle d’audit par pays / business unit qui permettait d’avoir une vision transversale de tous les processus sur un périmètre de chiffre d’affaires du groupe, n’est plus adaptée. Le développement des CSP induit en fait une gestion de plusieurs couvertures d’audit :
    • Toujours par pays / business unit sur la part du CA représenté par les structures auditées,
    • une approche d’audit sur 100 % du périmètre groupe sur les processus regroupés dans un CSP audité,
    • Un scope d’audit sur 0 % du périmètre groupe sur les processus des CSP non audités. Ce dernier point représente une réelle difficulté en matière de couverture des risques. Il peut néanmoins être traité par le développement de techniques d’audit en continu ou de monitoring d’indicateurs de risques qui permettent à distance de s’assurer de l’absence de risques majeurs avérés sur des processus non audités.

En matière d’approche et de travaux d’audit, deux sujets sont à instruire : le processus cible à auditer mais aussi un certain nombre de fonctions sans lesquelles il ne pourrait fonctionner.

  • Concernant ce dernier point, le CSP est aussi une entité juridique à part entière dont la qualité des fonctions de gestion influent sur la qualité et la sécurité du processus cible à auditer. Parmi ces fonctions on identifie les fonctions corporate liées à l’organisation générale du CSP, RH et IT, mais aussi celles liées au risk management et au pilotage, de gestion et de mesure de la performance du CSP.
    Parmi ces fonctions, on distinguera trois familles avec des approches un peu différenciées.
    • Des fonctions à auditer systématiquement en parallèle du processus cible de l’audit. Ceci est notamment le cas pour la matrice des responsabilités (RACI), les processus de contrôle interne et de lutte contre la fraude, le cyber et la conformité des données,
    • Des fonctions à auditer dans le cadre du processus cible à auditer (ticketing, gestion des appels, monitoring des robots..),
    • Les autres fonctions support (RH, gouvernance, pilotage de la performance) qui peuvent, elles, s’appréhender dans une perspective pluri annuelle d’audit.
  • Pour ce qui concerne l’audit du processus mutualisé au sein du CSP, et eu égard à ses caractéristiques, il conviendra de mettre en œuvre :
    • Lors de la phase préparatoire, des travaux significatifs d’analyse de données sur la revue des indicateurs de performance du processus, ses Key Risk Indicators (cf. suppra), et du data analytics sur le processus de ticketing notamment (séquençage, délais de traitement et de réponse…)
    • Lors de la phase terrain, en complément d’un programme de travail classique sur le processus, des travaux relatifs à la lutte contre la fraude, la gestion du robot (gouvernance, paramétrage et code interne…), la séparation des tâches à la fois entre les entités pays et le CSP mais aussi au sein du CSP sur les habilitations informatiques et sur les problématiques de séparation des tâches engendrées par l’automatisation et la robotisation (en effet, le robot peut successivement réaliser toutes les tâches du processus : engager, valider la facture et payer).

Ce type d’audit interne a un niveau de complexité élevé qui nécessite de la séniorité ainsi que de compétences multiples pour le conduire : IT, juridique, organisationnel…

Le développement des CSP invite les Directions d’Audit Interne à repenser leur stratégie, leur approche d’audit et à mobiliser des compétences nouvelles pour réaliser leurs audits.

Mais au-delà de cet exemple de l’incidence sur les pratiques d’audit interne du développement de CSP, digitalisé, robotisé il est aussi l’expression d’une tendance plus lourde de nos métiers d’audit interne  qui tendent vers :

  • Des audits à plus forte valeur ajoutée,
  • Des audits pluridisciplinaires, intégrant de nombreuses compétences pour couvrir tous les champs : Audit, Juridique, Organisationnel, IT…
  • Une dimension IT qui est croissante :
    • Audit de sujet IT (gouvernance, système, cyber, sécurité…),
    • Data analytics,
    • Audit en continu.

Nicolas Gasnier-Duparc