Un marché à la croissance exponentielle et très dynamique en Europe
Les besoins des entreprises en matière de transformation des processus métiers stimulent le marché de la RPA (Automatisation Robotisée des Processus), qui connaît de fait une croissance exponentielle, en particulier, dans les grandes ou moyennes entreprises traitant des opérations répétitives, en masse et fondées sur des règles prédéfinies.
Selon la dernière étude Gartner[1], cette année le marché de la RPA pourrait atteindre 1,3 milliard de dollars et 7,7 milliards en 2023. Rien qu’en 2020, le développement de la RPA représente un équivalent de 1 million d’ETP. Sur ce marché les zones les plus dynamiques sont les Etats-Unis et l’Europe selon Forrester[2].
La RPA constitue une formidable opportunité d’augmenter la productivité, et par conséquent la profitabilité dans un monde en recherche permanente d’amélioration de ses marges.
Pour quels nouveaux risques ?
En revanche, l’introduction d’une nouvelle technologie engendre nécessairement des risques nouveaux. Quelle approche l’audit interne doit-elle adopter pour les maîtriser ? Quelles sont les conséquences sur le programme d’audit, les compétences à mobiliser ?
Si au premier abord, la robotisation de certaines tâches renforce naturellement le niveau de maîtrise, en supprimant les risques habituels liés à l’intervention humaine, telles que : erreur, non-respect de la procédure ou omission d'une étape, voire fraude, elle engendre aussi des risques nouveaux pas toujours faciles à appréhender et souvent occultés ou sous-estimés.
En premier lieu, le processus de robotisation engendre des risques opérationnels liés à la non-atteinte de l’objectif d’automatisation du processus. Ainsi lorsque le programme ne répond pas à l’ensemble des cas métier existants, la mise en œuvre du RPA aboutit à la production de cas d’exclusion en masse qui nécessitent une intervention humaine significative pour traiter cette non-qualité.
Par ailleurs, il convient de s’interroger dès la conception du projet sur le contrôle interne à embarquer dans le programme et autour du programme. En effet le robot est un programme informatique sujet aux mêmes risques que toutes les applications. Aussi, il convient de s’assurer des aspects liés au paramétrage du processus robotisé, à la gestion des changements et à la sécurité.
Un troisième risque concerne le dysfonctionnement de la solution RPA en phase de production lorsque l’environnement informatique change. En effet, dans la mesure où la RPA n'est pas un composant autonome mais, par définition, un processus extrêmement interconnecté à d’autres processus et à de nombreux systèmes d’information.
Aussi, tout changement non anticipé ou identifié de l’environnement informatique (nouvelle interface, format de données modifié…) amont ou aval du processus robotisé affecte son fonctionnement, réduit sa capacité opérationnelle, génère des défaillances. L’impact est majeur du fait de la volumétrie des données qu’il traite en continu. Une telle situation peut rapidement mettre en péril une organisation.
Enfin, le dernier risque cité ici est l’absence de maîtrise de la part du fournisseur de dispositifs RPA. Dans ce contexte, le dispositif de contrôle du fournisseur est-il suffisant pour assurer que la solution RPA est sécurisée, résiliente aux changements et procure la traçabilité des opérations effectuées par le robot ? De plus, le fournisseur est-il conforme aux règlements lui étant potentiellement applicables (RGPD, FISMA, SOX…).
Notre expérience montre que la majorité des programmes de RPA sont élaborés selon une logique première de rentabilité économique qui renvoie au second plan les risques inhérents générés par l’évolution des processus et de la technologie utilisée. Aussi, les risques que nous venons d’évoquer sont la plupart du temps sous-estimés.
Un nouveau champ d’investigation et d’expertise pour l’audit interne
Dans ce cadre l’audit interne devra être en capacité à intervenir sur des domaines très variés.
Il s’agit d’une part d’évaluer la sécurité et la gouvernance du programme RPA, et d’autre part, au sein du projet, de vérifier l’adéquation entre l’expression de besoin et le produit fini. Il conviendra notamment de s’assurer que le processus peut effectivement être automatisé, que les gains obtenus sont réels, et que le processus cible est aligné sur les objectifs métiers.
D’autre part, la robustesse de la procédure de gestion des changements doit être contrôlée, la solution RPA devant être traitée au même titre qu’une application métier au sein de cette procédure.
Enfin, l’évaluation des fournisseurs de RPA doit être aussi prise en compte.
Dans ce contexte, au vu des risques engendrés par le RPA, les Directions d’Audit Interne se doivent d’investiguer ce champ et l’intégrer dans leurs programmes d’audit. Ce qui induit au préalable l’adjonction de compétences spécifiques dans les équipes d’audit, telles que système d’information, robotique, gestion de projet, voire codage, pour définir de nouveaux référentiels d’audit et déployer les contrôles.
La démultiplication de l’installation de robots offre aux auditeurs internes une nouvelle occasion de démontrer leur capacité à s’adapter aux contextes nouveaux, aux nouvelles technologies et mettre en œuvre des techniques d’audits adaptées et d’accompagner la disruption technologique.
Thanks to all of you Bots!
[1] Etude de marché RPA par Gartner, en 2020
[2] Etude Forrester 2019
