Les fonctions de contrôle, audit interne, contrôle interne et conformité vivent un changement de leurs pratiques avec la transformation numérique. L’exploitation de la donnée devient un enjeu pour améliorer la productivité via l’automatisation de certains travaux d’audit / de contrôle, et pour être plus efficient dans la détection des risques.
Dès 2017, l’étude Grant Thornton LLP auprès de 150 professionnels d’audit interne (directeur d’audits, managers et superviseurs) aux Etats-Unis indiquait que 36 % des répondants utilisaient fréquemment le Data Analytics pour améliorer les processus d’audit.
Mais rappelons tout d’abord la définition du Data Analytics. Selon Yves Grandmontagne, journaliste informatique : « Les Data Analytics sont la science de l'examen des données brutes, en appliquant des processus algorithmiques ou mécaniques, dans le but de tirer des conclusions sur ces informations. ». Dans le contexte des fonctions de contrôle, il s’agit d’exploiter les données opérationnelles de l’entreprise pour identifier les zones de risque, contrôler le respect des procédures et détecter les déviations.
Intégrer du Data Analytics dans la démarche d’audit ou de contrôle reste cependant un challenge. Au-delà d’un projet informatique, il s’agit avant tout d’un projet de transformation.
Si vous souhaitez vous lancer dans un projet Data Analytics ou si vous n’êtes pas totalement satisfait du rendement de votre dispositif Data Analytics, alors cet article vous est destiné.
Fort de notre expérience de projets Data Analytics, nous vous présentons huit pièges classiques à éviter.
1. Un projet Data Analytics sans stratégie définie
Les fonctions de contrôle sont parfois amenées à mettre en œuvre des solutions Data Analytics sous la pression de la transformation numérique globale, sans avoir au préalable pu définir le cas métier. Pourtant, un plan stratégique Data est indispensable.
Tout d’abord, le projet Data Analytics doit s’inscrire dans une gouvernance globale des données de l’entreprise, pour assurer la mutualisation et la qualité des données. Ensuite, il convient de définir le modèle organisationnel, les objectifs et les modalités de déploiement de la solution Data Analytics. Vous devrez enfin vous assurer en amont que le retour sur investissement est positif, en intégrant la dimension qualitative, une meilleure couverture des risques notamment.
Du point de vue organisationnel, il s’agit de définir qui seront les data analysts : des ressources spécifiques, des auditeurs formés à la discipline, des consultants, des collaborateurs de votre DSI ? Et bien sûr la nouvelle approche d’audit / de contrôle intégrant la composante Data Analytics.
2. Qui dit Data Analytics dit données !
Les projets Data Analytics ont souvent de grandes ambitions au départ. Mais elles peuvent être rapidement limitées par le problème d’accès aux données. En effet, l’extraction des données des systèmes propriétaires (ERP, applications comptables...) nécessite la mise en place d’un connecteur, s’il en existe un, ou bien d’une mécanique d’extraction par votre DSI. Dans les deux cas, vous devez mener un sous-projet. Pour les applications Cloud, l’accès aux données est souvent conditionné au périmètre prédéfini par l’éditeur.
En conclusion, vous devez évaluer les capacités d’accès aux données dès le cadrage de votre projet. Vous pourrez ainsi définir son périmètre : filiales et services concernés. Et cela vous évitera de concevoir des algorithmes qui ne peuvent être mis en œuvre faute de données.
3. Après huit mois, vous changez de solution Data Analytics…
Nombre de solutions Data Analytics mis en place ont une durée de vite inférieure à deux ans. Les raisons sont multiples : changement de stratégie de la DSI qui avait mis à disposition l’outil, la solution révèle des faiblesses (couche de visualisation inadaptée, capacité de traitement insuffisante…). Pourtant, le choix de la solution Data Analytics doit faire l’objet d’une réflexion approfondie dans le cadre de votre plan stratégique Data. En effet, les efforts pour mettre en œuvre la solution et former vos collaborateurs sont significatifs et doivent s’inscrire dans une démarche à moyen, voire long terme.
4. Trop de contrôles tuent le contrôle
L’ambition étant grande, le nombre de contrôles prévu est souvent élevé, au-delà de 50. Les éditeurs de solutions Data Analytics externalisées ont également tendance à prévoir un maximum de contrôles pour des raisons marketing évidentes. Toutefois, chaque contrôle nécessite du temps pour analyser les résultats, les documenter et comprendre les causes profondes de l’anomalie.
Par ailleurs, multiplier les contrôles est un exercice à risque dans un contexte réglementaire. Ainsi, si vous mettez en œuvre 100 contrôles comptables Sapin 2 et que vous n’êtes pas en mesure de démontrer que vous les avez exploités lors d’un contrôle de l’Agence Française Anticorruption, votre dispositif sera jugé inefficace, avec un risque d’amende salée.
5. Se concentrer sur les gains de productivité
La Data Analytics apporte indéniablement des bénéfices. L’étude Grant Thornton citée précédemment met en lumière les trois premiers gains : davantage d’opérations revues, un niveau d’assurance plus élevé et une identification plus rapide des opérations frauduleuses.
Toutefois, le gain est ici surtout qualitatif. L’amélioration de la productivité est plus incertaine dans la mesure où le Data Analytics constitue une brique supplémentaire qui produit de nouveaux résultats à analyser.
Vous aurez alors à cœur de prioriser l’utilisation du Data Analytics pour l’automatisation de contrôles, permettant une réelle amélioration de la productivité.
6. Les contrôles, auraient-ils un cycle de vie ?
Vous définissez initialement une batterie de contrôles Data Analytics couvrant les principaux risques identifiés. Toutefois, les risques et les processus évoluent au cours du temps, de même que les programmes d’audit. Votre dispositif de contrôle Data Analytics doit donc évoluer au cours du temps, sous peine de ne plus couvrir les risques actualisés. Vous devez donc prévoir en amont un processus de revue des contrôles, et une capacité à faire évoluer vos contrôles.
7. Une solution Data Analytics sans Data Science
Dans le cadre de vos programmes d’audit / de contrôle, vous définissez des contrôles Data Analytics fondés sur des scénarios prédéfinis : recherche de doublons, schémas comptables à risque (banque à charge sans passer par un tiers) … Toutefois, vous ne devez pas sous-estimer le potentiel des algorithmes Data Science qui permettent d’identifier des motifs atypiques sur la seule base de caractéristiques, ou bien d’appliquer du « machine learning » pour améliorer la qualité des résultats et éliminer les faux positifs sans devoir définir des règles complexes.
Par exemple, vous allez classifier les notes de frais selon leur montant et leur durée. L’algorithme ainsi identifie des cas exceptionnels que vous n’aurez pas été en mesure d’identifier via un contrôle classique.
8. Mais où est le dispositif d’exploitation des résultats ?
Vous avez mis en œuvre un dispositif de contrôles. Pourtant, les résultats sont sous-exploités. Vos auditeurs / contrôleurs ont été suffisamment formés ? Ont-ils le temps de traiter les résultats, en complément de leurs autres tâches ? Avez-vous mis en œuvre les modes opératoires d’exploitation des résultats ? Comment relayez-vous les exceptions aux métiers pour investigation ?
Si vous n’êtes pas en mesure de répondre à ces questions, probablement, le dispositif d’exploitation des résultats a été sous-estimé, et vous perdez la plus-value des contrôles Data Analytics.
Grant Thornton utilise des cookies pour effectuer des mesures d’audience et améliorer votre navigation.
Pour en savoir plus sur l'utilisation des cookies et comment les supprimer, veuillez consulter nos règles de confidentialité.
