Vous êtes sur la page 1sur 4

L’AUDIT INTERNE ET LE NUMÉRIQUE

tat des %ieu0


de % uti%isation
de % ana%1se de
données au sein
de % audit interne
o!ann ermeren
Associé Advisory, IT Risk Consulting, KPMG

ui%%aume uisset
© Graphicroyalty - Fotolia.com

Senior Manager, IT Risk Consulting, KPMG

 D’autre part, les comités d’audit et le

D
ans un monde en pleine transfor- turées (messages, vidéos, par opposition aux
mation avec la digitalisation des Management attendent plus encore de données structurées provenant souvent des
entreprises, les modèles écono- leur direction d’audit interne qu’elle se ERP). Cette révolution est aussi celle des outils
miques sont en pleine évolution et comporte en partenaire d’affaires en de visualisation des données (par exemple,
ils impactent très fortement les modèles apportant de la valeur ajoutée aux direc- Qlik, Tableau Software…), qui ont permis de
opérationnels. Nous assistons à une mutation tions métiers. faciliter la prise en main et le partage des
en profondeur des organisations, des proces- analyses en les rendant graphiques et intui-
sus et de la culture des entreprises. Les nouvelles technologies liées à la révolu- tives pour des utilisateurs non experts.
tion de l’analyse de données sont une formi-
L’audit interne a pour mission de donner de dable opportunité pour les directions d’audit Les niveaux d’intégration et
manière indépendante et objective « à une interne de répondre à ces attentes en permet- d’automatisation de l’analyse
organisation une assurance sur le degré de tant notamment de quantifier les impacts, de de données au sein de l’audit
maîtrise de ses opérations, lui apporter ses les prédire, de valoriser les enjeux financiers interne
conseils pour les améliorer, et contribuer à et de proposer des recommandations perti-
créer de la valeur ajoutée »1. Or, les attentes nentes. Les techniques d’analyse de données sont
du management et des comités d’audit sont déjà présentes au sein des fonctions d’audit
grandissantes notamment sur deux aspects Les récentes évolutions du marché ont en et de contrôle interne, avec des degrés d’uti-
du rôle de l’audit interne : outre levé un certain nombre de barrières à lisation plus ou moins importants. Il apparaît
 D’une part, l’attente quant à la couverture l’utilisation des technologies Big Data. Ces que de nombreuses directions d’audit interne,
des risques émergents est très forte et dernières permettent désormais de traiter des bien que convaincues des bénéfices de l’uti-
seulement 5 % des membres de la direction volumes de données très significatifs (avec le
et des comités d’audit estiment recevoir déploiement par exemple des technologies
une information de qualité de leur direction de type Hadoop, SAP Hana ou Oracle 1 Source IFACI, Définition de l’audit interne.

d’audit2. Exalytics) et d’analyser des données non struc- 2 Seeking value for internal audit – KPMG 2016.

32 4e trimestre 2016 — audit, risques & contrôle n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

i eau0 de
i eau i eau i eau i eau i eau
maturité
IHAHgraAiHH deH AudiAeH cHHAiHu AHHuraHce eH
MHAhHdHlHgie AudiAeAcHHArLle
AudiAAradiAiHHHel aHalyHeHde dHHHHeH eAHvaluaAiHH deH cHHAiHu de la
d’audiAiHAerHe eH cHHAiHu iHAHgrHH
Ad HHc riHHueHeH cHHAiHu geHAiHH deHriHHueH

Analyse stratégique

Evaluation des risques


de l’entreprise

Développement du
plan d’audit interne

Réalisation des
missions et
établissement des
rapports

Amélioration en
continu

Descriptive, Descriptive,
Descriptive,
Types de données Descriptive, Diagnostique, Diagnostique,
Descriptive Diagnostique,
applicables Diagnostique Prédictive, Prédictive,
Prédictive Prescriptive Prescriptive

AHalyHe de dHHHHeH AHalyHe de dHHHHeHparAiellemeHA AHalyHe de dHHHHeHuAiliHHeHde maHiKre


gHHHralemeHAHHH uAiliHHeH uAiliHHeHmaiHHHuHHHpAimiHHeH eMcace eAuHifHrme HadapAHeHH

Figure 1 JSource JKPMG J 2016

lisation de l’analyse de données, n’ont pas i eau de maturité udit traditionne% lyse de données est automatisée sur les
réussi à les démontrer. Nombre d’entre elles  L’utilisation d’analyses de données est limi- processus clés, les programmes de travail
ont considéré comme suc sant l’investisse- tée à des rapports d’exception et à prennent en compte l’analyse de données,
ment dans des outils et des spécialistes quelques analyses de données descriptives l’utilisation d’analyses prédictive et pres-
(internes ou externes). Mais pour une (notion abordée ci-dessous). criptive est rendue possible.
approche ec cace et durable, l’analyse de
données nécessite plus que d’ajouter de la i eau de maturité nté ration i eau de maturité udit et ontr %e
« technique » au sein de ses activités quoti- d ana%1se de données d!o en ontinu inté rés
diennes. MBme si ces éléments sont fonda-  Plan d’audit : l’utilisation d’analyses réalisées  Plan d’audit : Les risques prioritaires font
mentaux, uHe rHfleEiHH pluHHAraAHgiHue eHA par les opérationnels permet de réaliser des l’objet d’analyses intégrées dans les
HHceHHaire autour de l’évolution de la faBon comparaisons et des analyses de risque. systèmes d’information de l’entreprise, des
dont les audits sont planifiés, exécutés et  Exécution des missions et reJ orting : l’utili- analyses et outils de pilotage des contrôles
partagés, ainsi que dans la faBon d’interagir sation d’analyses descriptives permet une et des risques sont exploitées par les direc-
avec les parties prenantes. Le GTAG BB R dispo- analyse des risques et du périmètre de la tions métiers, les analyses prédictives et
nible sur le site de l’I ACI R présente les phases mission. prescriptives sont réalisées en complément
clés de la mise en œuvre de l’audit en continu pour ac ner les analyses de risques.
et donne plusieurs études de cas. i eau de maturité udit en ontinu  Exécution des missions et reJ orting : Des
et é a%uation des ris ues en ontinu procédures de tests automatisés sur
Les directions d’audit doivent définir le niveau  Plan d’audit : l’utilisation d’analyses sur les certains objectifs d’audit permettent de
de maturité qu’elles souhaitent atteindre. risques prioritaires est systématique, l’ex- faire des audits par exception, l’audit
Néanmoins, cette transformation de l’audit traction est automatisée et des outils de interne a accès à l’ensemble des outils de
interne doit Btre progressive dans le temps visualisation sont en place, la réalisation pilotage des contrôles, la qualité des
mais aussi en parallèle des autres directions d’analyses prédictives est réalisée lorsque données est pilotée par les opérationnels,
(contrôle interne, conformité, risques, nécessaire. des analyses prédictives et prescriptives
systèmes d’information, métiers, financière et  Exécution des missions et reJ orting : l’ana- sont réalisées en complément.
Direction générale).

À titre d’illustration, cinq niveaux de maturité J Global TechnologDAudit Guide J Audit en continu JCoordonner l’audit et le contrôle en continu J our fournir une aJJurance continue. 2016.
peuvent Btre proposés : J
BeJt J racticeJ in AnalDticJ Jintegrating AnalDtical CaJ abilitieJ and J roceJJ floB J, Gartner, MarJ 2012.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 33


L’AUDIT INTERNE ET LE NUMÉRIQUE

Opérationnel Tactique Stratégique


et enrichir la donnée. Ces outils sont géné-
ralement utilisés afin d’obtenir un fichier qui
sera ensuite exploité dans un outil de visua-
Analyse lisation. Ce secteur connait une tendance
Quelle action prendre ? prescriptive vers l’utilisation de plateformes en libre-
service incluant du contenu prédéfini
Modélisation
Que va-t-il se passer ? prédictive (connecteurs système, requBtes), contenu
qui peut Btre ensuite enrichi par les utilisa-
teurs.

Data
Attentes métier

Mining Pourquoi est-ce arrivé ?


Les HuAilH de viHualiHaAiHH des données
(par exemple, Tableau - oftL are, QliB). Ces
Requêtes Où est le problème ? outils permettent une navigation intuitive
dans les données à l’aide de représenta-
Rapports tions graphiques variées (y compris repré-
Quand ? Comment ?
ad hoc sentations géolocalisées) et de
fonctionnalités de navigation dans le détail.
Rapports Cette évolution du marché se traduit par le
standards Que s’est-il passé ?
positionnement de Tableau - oftL are et
Création de valeur QliB dans le premier quartile du Magic
Quadrant de Gartner.
Figure 2 JSource JKPMG J 2016
 Les HuAilH de business intelligence (par
exemple Microsoft PoL er BI, - AP, ) racle,
Microstrategy. Ces outils d’aide à la décision
i eau de maturité ssuran e en leurs contextes BQue s’est-il passé et dans s’articulent autour d’un ETL (Extraction,
ontinu quel contexte B Transformation, Chargement), d’un entre-
 Plan d’audit : La stratégie est totalement  AHalyHe DiagHHHAiHue (dans figure B : les pôt de données permettant de stocBer les
alignée avec la cartographie des risques, les requBtes et le data J ining): Analyse des cubes de données, et d’outils de reJ orting
objectifs stratégiques et les risques sont root cauJeJ BPourquoi est-ce arrivé B ou tableaux fournissant une aide à la déci-
pilotés en temps réel, le plan d’audit est  AHalyHe prHdicAive HEstimation de l’impact sion.
dynamique et s’adapte à la transformation potentiel sur la base de l’historique et de  Les HuAilHd’aHalyHe de dHHHHeHHpHcialiH
du métier, l’ensemble des technologies modèles scientifiques BQu’est-ce qui arri- HHHpHur l’audiAeAle cHHArLle iHAerHe (ACL,
d’analyse de données est disponible et vera B Pourquoi cela arriverait B IDEA). Certains acteurs de l’analyse de
utilisé.  AHalyHe preHcripAive H Définition du données ont fait le choix de se spécialiser
 Exécution des missions et reJ orting : Les modèle idéal permettant d’éviter l’excep- vers les métiers de l’audit et du contrôle,
procédures d’audit prennent en compte tion BQue faire pour que Ba n’arrive pas B notamment en garantissant la piste d’audit
l’analyse de données sur les principaux et en développant des fonctionnalités d’au-
objectifs et risques de l’entreprise, les Le type d’analyse dépend de l’objectif des dit et de contrôle continu. La tendance
procédures d’audit automatisées sont travaux et de la maturité de l’audit interne. Il chez ces acteurs est à l’évolution vers le
orientées sur l’analyse des causes premières faut considérer ces dibérents types d’analyses GBig Data », voire à l’augmentation de leur
Jroot cauJeJJ et sur les recommandations. comme une boite à outils. couverture fonctionnelle afin de couvrir les
Les programmes de travail proposent l’uti- fonctionnalités attendues de solutions de
lisation des analyses prédictives et prescrip- j uels sont les outils et servij es GRC, mais aussi en embarquant des fonc-
tives. j ouvant réj ondre aux j esoins tionnalités prédictives.
de l’audit interne j  Les HuAilH de HRH (- AP GRC, ) racle GRC
j uels sont les tyj es d’analyses Management, BWI- E) Ces outils permettent
de données j ertinents j our Il est dic cile de faire un inventaire de l’ensem- une intégration du contrôle continu et de
l’audit interne j ble des solutions, outils, éditeurs et cabinets l’audit continu à la gestion des risques, des
évoluant sur le marché de l’analyse de politiques et procédures de l’entreprise,
En parallèle du niveau d’automatisation et données. Il en est de mBme pour catégoriser ainsi qu’avec la fonction de conformité. Du
d’intégration que les directions d’audit interne ces outils, compte tenu de la tendance du côté des acteurs de la GRC, on note égale-
souhaitent atteindre, il faut aussi se poser la marché à évoluer vers des solutions bout en ment un renforcement des capacités d’ana-
question des types d’analyses de données à bout (Big Data, visualisation, contrôle continu, lyse de données (par exemple, - AP GRC
mettre en œuvre. L’ebort nécessaire à cette prédictifT ). En complément, nous voyons dispose désormais d’un module Fraud
mise en œuvre sera plus important et les apparaBtre, en plus des acteurs « tradition- ManageJ ent possédant des capacités
besoins humains et technologiques seront nels » du marché, des acteurs de niche propo- d’analyses G Big Data » et prédictives et
plus forts en fonction des types d’analyses sant des solutions ciblées et pertinentes. donnant la capacité d’identifier des cas de
souhaités. fraude notamment).
Gartner B distingue quatre types d’analyses Il est possible de classifier les outils disponi-  Les HuAilHHpHciNHueHHnous proposons ci-
qu’il est possible de disposer dans « sa boite à bles sur le marché de la manière suivante : après deux exemples d’utilisation d’outils
outils » :  Les HuAilHde prHparaAiHHdes données (par d’analyse de données pertinents pour les
 AHalyHe deHcripAive (dans la figure B : les exemple, - A- , Alteryx, DataL atch T ). Ces directions d’audit interne :
rapports) : analyse des exceptions dans outils permettent de nettoyer, transformer - Les réseaux sociaux ont contribué à créer

34 4e trimestre 2016 — audit, risques & contrôle n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

de nouvelles menaces, notamment en services ponctuels peut permettre aux direc-  Définir un programme de protection des
termes d’image (e-reputation) pour les tions d’audit interne d’accélérer leur projet de données (personnelles ou critiques) en
entreprises. Ces menaces et leur gestion digitalisation en profitant de solutions, de accord avec les enjeux réglementaires
ont fait naitre un éco-système d’outils et technologies, d’expertises et de cas d’utilisa- (C( IL ou avec le Règlement Général sur la
de services autour de la gestion des tion. À titre d’exemples, citons des applica- Protection des Données au niveau
réseaux sociaux. Les HuAilHd’aHalyHe de tions pour l’analyse des taxes indirectes, le EuropéenT ).
la eHrepuAaAiHH(par exemple Bottlenose) parcours client, l’optimisation des processus  - écuriser et protéger les données et
permettent de détecter les sujets les plus ERP, la cyber sécurité et les analyses secto- analyses.
fréquents sur les réseaux sociaux, ainsi rielles T
que d’identifier l’aspect positif ou négatif ti isation et inté ration de ana se
du commentaire pour l’entreprise. Ces démarches peuvent en ebet permettre de de données dans es audits
- DHAecAiHH deH riHHueH de cHrrupAiHH H limiter la dic culté de certaines organisations  aire évoluer les approches d’audit et les
Certains outils (par exemple Astrus) à disposer des compétences et de ressources programmes de travail en incluant l’analyse
permettent de faire une analyse des en interne et de se concentrer sur l’acquisition de données.
contreparties et d’émettre des rapports des compétences nécessaires à l’exploitation  Définir ce qui est attendu de l’analyse de
avec l’aide de consultants de due dili- de ces résultats, l’analyse des causes données : exceptions, identification des
gence sur les risques liés aux contrepar- premières Jroot cauJeJJ et la proposition de « faux-positifs » et des « faux-négatifs ».
ties et à l’intégrité des tiers. recommandations à valeur ajoutée.  Définir le processus de traitement des
 Le cHgHiAif avec l’iHAelligeHce arAiNcielle exceptions et notamment au regard du
(par exemple IBM Watson) promet une véri- j etours d’exj érienj e j our volume potentiel.
table révolution dans l’analyse de données un déj loiej ent ej j aj e de
avec la capacité d’apprentissage automa- l’analyse de données a teurs umains
tique. Ces outils, grâce à la capacité d’auto-  Définir le socle de compétences néces-
matiser les analyses prescriptives, MBme si nous avons évoqué la levée de saires à la bonne exploitation de ces
permettront une prise de recul avec des certaines barrières à l’utilisation de techniques données par les auditeurs internes
recommandations innovantes et perti- d’analyse de données (plus ou moins avan- (connaissance des systèmes et des
nentes. cées), certaines demeurent non négligeables. contrôles attendus).
 Évaluer le besoin en termes de gestion du

j Le cognitif avec l’intelligence artificielle promet


une véritable révolution dans l’analyse de
changement sur les opérationnels, contrô-
leurs internes et auditeurs internes suite à
la mise en place de solutions de contrôles
et audits en continu.
données avec la capacité d’apprentissage  Rester connecté avec les autres directions

automatique j Elles peuvent Btre réparties de la faBon


utilisant des techniques d’analyses de
données.

Dans leur ensemble, les directions d’audit


Gartner prédit dans son dernier Magic suivante : interne ont donc débuté leur projet de
J uadrant 1or BuJineJJ Jntelligence and J nalDticJ déploiement des capacités d’analyse de
Plat1orJ JJ une intégration des outils dits de « uestions énéra es données profitant de la révolution du Big Data
préparation des données » et des outils de  Définir et partager des objectifs clairs et des et de la DataJ iz. Les directions d’audit interne
visualisation des données, le tout appuyé sur critères de succès en lien avec la stratégie n’ont pas toujours pu ou pas toujours su
des fortes capacités de traitement, notam- et la gouvernance de l’entreprise. matérialiser les bénéfices et la valeur ajoutée
ment à l’aide du cloud (par exemple Microsoft  Mesurer et démontrer les succès. de l’analyse de données. ( éanmoins, les
PoL er BI, reposant sur le cloud Microsoft  Anticiper les besoins techniques (outils, directions ont tout intérBt à penser à une
Azure). Des regroupements autour de parte- compétences et conseil externe). transformation de la manière de planifier,
nariats ont notamment été initiés, entre des  Prendre en compte les eborts et initiatives d’exécuter et de partager les travaux d’audit
spécialistes métiers du risque et de l’audit et déjà existantes au sein de l’organisation en intégrant l’analyse de données de manière
des acteurs technologiques (J nalDticJ aJ a (D- I, Data - cientists, Responsable Digital...). pertinente. Les questions autour de l’intégra-
Jervice avec KPMG, en partenariat avec tion et de l’automatisation sont capitales, mais
Microsoft) ou des solutions en cloud permet- é urité dis oni i ité et ua ité des c’est aussi l’analyse des risques et des enjeux
tant de faire de l’audit et du contrôle en données stratégiques qui permettra de définir quelles
continu (comme - ) Y de KPMG ou encore  ( e pas sous-estimer les dic cultés d’accès solutions (approches, outils, conseils internes
ACL ou - AP qui proposent des solutions en aux données (extraction). et externes nécessaires) apporteront la plus
cloud).  Prendre en compte la diversité des grande valeur ajoutée pour le métier, la direc-
systèmes et des formats de données. tion et le Comité d’audit. !
En ce qui concerne le conJulting, le conseil  Mettre en place un processus d’analyse de
autour des solutions d’analyse de données est la qualité des données (exhaustivité, exac-
désormais mature. Au-delà, de l’accompagne- titude, intégrité) sur les données internes et
ment à la définition de la stratégie d’analyse externes.
de données et au déploiement des solutions
J Magic J uadrant 1or BuJineJJ Jntelligence and J nalDticJ Plat1orJ J – Gartner 2016J
d’audit et contrôle en continu, l’obre de

n° 008 — audit, risques & contrôle — 4e trimestre 2016 3