Article

2045 : Odyssée de l’auditeur interne

ContributorName(contributor, true)
By:
2045 : Odyssée de l’auditeur interne
Opus 2
2045 : Odyssée de l’Auditeur Interne

2045 : Odyssée de l’Auditeur Interne

Read this article

Que notre planète est belle ! Quel sentiment d’éternité. Cela en valait vraiment la peine !

La prise de conscience de la génération précédente a été salutaire pour préserver sa biodiversité et faire en sorte que la vie y soit agréable et pas uniquement vivable.

Je suis sur l’orbite interstellaire N°4 à 1800 km d’altitude et je contemple ce spectacle fascinant : à 7km/s, un camaïeu de couleurs, de contrastes, d’ombres et de lumières, d’eau et de terres, de jour et d’obscurité. Un sentiment de force supra naturelle, de perfection et d’éternité m’habite et pourtant, nous ne sommes pas passés loin de la catastrophe…

Je regarde ce spectacle depuis le satellite privé de « Grant Technological », l’une des plus grandes compagnies mondiales de consulting et de controlling. Notre constellation privée de satellites nous assures une indépendance et une confidentialité totale de nos données, RGPD.4 oblige. Quant à la sécurité et à la gestion des risques, on fait de notre mieux&nbps;!

La redescente sur terre est rapide, j’enlève mon casque de réalité virtuelle, me voilà de retour à Grand Paris. Ce « shoot » spatial fait du bien, donne du sens à ce que nous faisons sur terre. Une piqûre de rappel en somme...

Une nouvelle journée commence.

Pour ceux qui ne me connaissent pas, je suis global supervizor internal audit & risks chez Grant Technological.

Je supervise l’audit et la gestion des risques de la division consulting.

Notre dispositif des trois lignes de défense est organisé de la manière suivante :

Une intelligence artificielle générative privée met à jour ma cartographie des risques sur la base de nos données internes, mais aussi de données partagées librement avec les autres acteurs mondiaux du consulting réunis au sein de l’ITGC (International Guilde of Consulting). En fonction de l’évolution quotidienne de l’intensité de certains risques, un robot module la réalisation du programme de contrôle interne, allégeant ou renforçant le niveaux des contrôles. Notre contrôle interne est, depuis maintenant une dizaine d’années, automatisé à 100%. J’optimise ainsi en temps réel la bande passante de ma ferme de robots qui réalisent les contrôles. Cette ferme étant particulièrement énergivore, le respect de nos engagements RSE nous oblige à en diminuer chaque année le coût de fonctionnement, ce qui passe principalement par une modération de son utilisation.

Quand de nouveaux risques apparaissent, HAL, notre IA interne à l’audit me génère une proposition de plan d’actions de mitigation et de plan de contrôles, que je valide.

D’un côté, le plan d’actions est relayée aux opérationnels pour mise en œuvre. De l’autre, mes Robaudits paramètrent immédiatement les nouveaux contrôles dans notre référentiel digital de contrôle interne. Ils définissent les Key Risks Indicators associés et les intègrent dans mon tableau de bord de monitoring des risques. Leur suivi me permet de m’assurer que les opérationnels ont bien mis en œuvre les plans d’actions, puis de m’assurer de leur pertinence pour réduire les risques. En fonction des résultats, HAL ajuste les plans. J’ai toutes les semaines une réunion d’arbitrage avec lui sur les plans de contrôle interne.

La troisième ligne de défense a beaucoup évolué ces dernières années parallèlement à l’évolution de notre organisation. Nos projets, pour nos clients, nécessitent d’assembler de nombreuses compétences qui sont distribuées partout à travers le monde. Cela requiert de notre part, pour chaque projet, de solliciter nos différentes expertises là où elles se trouvent au sein de notre réseau. Aussi, nos « objets » d’audit interne ne sont plus des entités physiques ou juridiques mais bien des projets globaux et des processus transverses virtualisés. De ce fait, cela fait longtemps que les audits sur place n’ont plus de sens...

Pour des raisons de confidentialité, il ne nous est pas possible d’intervenir directement sur les données de production des projets en cours pour nos clients. Aussi avons-nous virtualisé dans le Métavers nos projets et fonctions de contrôle, nous permettant d’intervenir sans délai de prévenance, sans même que le management de projet ou de process ne soit au courant. Cela nous permet également de tester des scripts de contrôle afin d’affiner nos programmes de travail. C’est en quelque sorte notre Audit Lab indépendant.

Toutes les données des projets et des processus y sont répliquées et naturellement anonymisées et cryptées, tout en conservant une piste d’audit avec les données sources. En cas de findings, le lien avec la réalité non virtuelle est automatique et selon la criticité de ceux-ci, la note de risque du projet ou du processus évolue à la hausse ou à la baisse. Le chef de projet est informé automatiquement dans son reporting quotidien du rating de risque qui entre aussi dans ses objectifs de performance. Notre IRC (International Regulator and Controller) voudrait même que ces notes soient consolidées en une note de risque corporate, publiée quotidiennement aux marchés financiers.

La profession freine des quatre fers contre ce projet…

Pour réaliser le programme d’audit, je dispose d’une équipe d’une vingtaine d’IIA (Internal Intervention Avatars-auditeurs). Ma dream team !

Mes IIA déroulent le plan d’audit annuel mis à jour deux fois par an par HAL pour rester au plus près de l’actualité du groupe. Tous les jours je suis informé de l’avancement des audits, tous les findings de niveau 4 sur une échelle de 5 me remontent systématiquement.

Enfin, le dispositif est parachevé par une couche d’investigations en cas de suspicion de fraude ou de corruption, qui, pour des questions d’indépendance, ne peuvent être déclenchées que par notre ligne d’alerte. Cette dernière est activée automatiquement par les systèmes d’information en cas de transactions anormales, par notre IA générative dès qu’elle anticipe un risque de fraude de plus de 75% sur le mois à venir, ou de manière manuelle par nos collaborateurs non virtuels. L’importance du cas remonté entre dans la mesure de la performance et permet d’octroyer des Grant Token Rewards à nos collaborateurs vigilants.

Par ailleurs, le paramétrage de notre contrôle interne intègre un module « fraude » qui permet d’activer immédiatement un contrôle renforcé et des actions d’information et de sensibilisation du périmètre concerné, et ce, avant l’arrivée des équipes d’investigation.

Enfin, deux fois par an, je présente les résultats du contrôle interne et de l’audit au CBD (Council Board of Directors), composé également depuis 5 ans, d’une IA indépendante, appelée sans surprise «H». Cette dernière est nourrie par l’ensemble des résultats du contrôle interne et de l’audit sur les 20 dernières années et propose aux membres du CBD une analyse critique de mon rapport ainsi qu’une série de questions pour challenger l’organisation de nos trois lignes de défense. Ces réunions constituent le point d’orgue de ma saison&nbps;: fumée blanche, je m’en sors bien, fumée grise, H a réussi à me piéger sur certains points, fumée noire, … pas envisageable.

D’autant moins que pour me sécuriser j’entraine HAL sur les mêmes données que H pour anticiper les points… On est professionnel de la gestion de risques ou on ne l’est pas !

Voilà en quelques mots comment nous avons organisé notre gestion des risques. A l’occasion je vous emmènerai dans l’une des missions de mes IIA comme guest auditor. Mais ce sera pour une autre fois !

Nicolas Gasnier Duparc