Académique Documents
Professionnel Documents
Culture Documents
FR Audit Interne Numerique Tribune
FR Audit Interne Numerique Tribune
Guillaume Cuisset,
© Graphicroyalty - Fotolia.com
D
ans un monde en pleine transfor- turées (messages, vidéos, par opposition aux
mation avec la digitalisation des Management attendent plus encore de données structurées provenant souvent des
entreprises, les modèles écono- leur direction d’audit interne qu’elle se ERP). Cette révolution est aussi celle des outils
miques sont en pleine évolution et comporte en partenaire d’affaires en de visualisation des données (par exemple,
ils impactent très fortement les modèles apportant de la valeur ajoutée aux direc- Qlik, Tableau Software…), qui ont permis de
opérationnels. Nous assistons à une mutation tions métiers. faciliter la prise en main et le partage des
en profondeur des organisations, des proces- analyses en les rendant graphiques et intui-
sus et de la culture des entreprises. Les nouvelles technologies liées à la révolu- tives pour des utilisateurs non experts.
tion de l’analyse de données sont une formi-
L’audit interne a pour mission de donner de dable opportunité pour les directions d’audit Les niveaux d’intégration et
manière indépendante et objective « à une interne de répondre à ces attentes en permet- d’automatisation de l’analyse
organisation une assurance sur le degré de tant notamment de quantifier les impacts, de de données au sein de l’audit
maîtrise de ses opérations, lui apporter ses les prédire, de valoriser les enjeux financiers interne
conseils pour les améliorer, et contribuer à et de proposer des recommandations perti-
créer de la valeur ajoutée »1. Or, les attentes nentes. Les techniques d’analyse de données sont
du management et des comités d’audit sont déjà présentes au sein des fonctions d’audit
grandissantes notamment sur deux aspects Les récentes évolutions du marché ont en et de contrôle interne, avec des degrés d’uti-
du rôle de l’audit interne : outre levé un certain nombre de barrières à lisation plus ou moins importants. Il apparaît
D’une part, l’attente quant à la couverture l’utilisation des technologies Big Data. Ces que de nombreuses directions d’audit interne,
des risques émergents est très forte et dernières permettent désormais de traiter des bien que convaincues des bénéfices de l’uti-
seulement 5 % des membres de la direction volumes de données très significatifs (avec le
et des comités d’audit estiment recevoir déploiement par exemple des technologies
une information de qualité de leur direction de type Hadoop, SAP Hana ou Oracle 1 Source IFACI, Définition de l’audit interne.
d’audit2. Exalytics) et d’analyser des données non struc- 2 Seeking value for internal audit – KPMG 2016.
Niveaux de
Niveau I Niveau II Niveau III Niveau IV Niveau V
maturité
Intégration des Audit en continu Assurance en
Méthodologie Audit et contrôle
Audit traditionnel analyses de données et évaluation des continu de la
d’audit interne en continu intégrés
Ad Hoc risques en continu gestion des risques
Analyse stratégique
Développement du
plan d’audit interne
Réalisation des
missions et
établissement des
rapports
Amélioration en
continu
Descriptive, Descriptive,
Descriptive,
Types de données Descriptive, Diagnostique, Diagnostique,
Descriptive Diagnostique,
applicables Diagnostique Prédictive, Prédictive,
Prédictive Prescriptive Prescriptive
lisation de l’analyse de données, n’ont pas Niveau de maturité I – Audit traditionnel lyse de données est automatisée sur les
réussi à les démontrer. Nombre d’entre elles L’utilisation d’analyses de données est limi- processus clés, les programmes de travail
ont considéré comme suffisant l’investisse- tée à des rapports d’exception et à prennent en compte l’analyse de données,
ment dans des outils et des spécialistes quelques analyses de données descriptives l’utilisation d’analyses prédictive et pres-
(internes ou externes). Mais pour une (notion abordée ci-dessous). criptive est rendue possible.
approche efficace et durable, l’analyse de
données nécessite plus que d’ajouter de la Niveau de maturité II – Intégration Niveau de maturité IV – Audit et contrôle
« technique » au sein de ses activités quoti- d’analyse de données Adhoc en continu intégrés
diennes. Même si ces éléments sont fonda- Plan d’audit : l’utilisation d’analyses réalisées Plan d’audit : Les risques prioritaires font
mentaux, une réflexion plus stratégique est par les opérationnels permet de réaliser des l’objet d’analyses intégrées dans les
nécessaire autour de l’évolution de la façon comparaisons et des analyses de risque. systèmes d’information de l’entreprise, des
dont les audits sont planifiés, exécutés et Exécution des missions et reporting : l’utili- analyses et outils de pilotage des contrôles
partagés, ainsi que dans la façon d’interagir sation d’analyses descriptives permet une et des risques sont exploitées par les direc-
avec les parties prenantes. Le GTAG 33 – dispo- analyse des risques et du périmètre de la tions métiers, les analyses prédictives et
nible sur le site de l’IFACI – présente les phases mission. prescriptives sont réalisées en complément
clés de la mise en œuvre de l’audit en continu pour affiner les analyses de risques.
et donne plusieurs études de cas. Niveau de maturité III – Audit en continu Exécution des missions et reporting : Des
et évaluation des risques en continu procédures de tests automatisés sur
Les directions d’audit doivent définir le niveau Plan d’audit : l’utilisation d’analyses sur les certains objectifs d’audit permettent de
de maturité qu’elles souhaitent atteindre. risques prioritaires est systématique, l’ex- faire des audits par exception, l’audit
Néanmoins, cette transformation de l’audit traction est automatisée et des outils de interne a accès à l’ensemble des outils de
interne doit être progressive dans le temps visualisation sont en place, la réalisation pilotage des contrôles, la qualité des
mais aussi en parallèle des autres directions d’analyses prédictives est réalisée lorsque données est pilotée par les opérationnels,
(contrôle interne, conformité, risques, nécessaire. des analyses prédictives et prescriptives
systèmes d’information, métiers, financière et Exécution des missions et reporting : l’ana- sont réalisées en complément.
Direction générale).
À titre d’illustration, cinq niveaux de maturité 3 Global Technology Audit Guide - Audit en continu : Coordonner l’audit et le contrôle en continu pour fournir une assurance continue. 2016.
peuvent être proposés : 4
Best practices in Analytics : integrating Analytical Capabilities and process flows, Gartner, Mars 2012.
de nouvelles menaces, notamment en services ponctuels peut permettre aux direc- Définir un programme de protection des
termes d’image (e-reputation) pour les tions d’audit interne d’accélérer leur projet de données (personnelles ou critiques) en
entreprises. Ces menaces et leur gestion digitalisation en profitant de solutions, de accord avec les enjeux réglementaires
ont fait naitre un éco-système d’outils et technologies, d’expertises et de cas d’utilisa- (CNIL ou avec le Règlement Général sur la
de services autour de la gestion des tion. À titre d’exemples, citons des applica- Protection des Données au niveau
réseaux sociaux. Les outils d’analyse de tions pour l’analyse des taxes indirectes, le Européen…).
la e-reputation (par exemple Bottlenose) parcours client, l’optimisation des processus Sécuriser et protéger les données et
permettent de détecter les sujets les plus ERP, la cyber sécurité et les analyses secto- analyses.
fréquents sur les réseaux sociaux, ainsi rielles …
que d’identifier l’aspect positif ou négatif Utilisation et intégration de l’analyse
du commentaire pour l’entreprise. Ces démarches peuvent en effet permettre de de données dans les audits
- Détection des risques de corruption : limiter la difficulté de certaines organisations Faire évoluer les approches d’audit et les
Certains outils (par exemple Astrus) à disposer des compétences et de ressources programmes de travail en incluant l’analyse
permettent de faire une analyse des en interne et de se concentrer sur l’acquisition de données.
contreparties et d’émettre des rapports des compétences nécessaires à l’exploitation Définir ce qui est attendu de l’analyse de
avec l’aide de consultants de due dili- de ces résultats, l’analyse des causes données : exceptions, identification des
gence sur les risques liés aux contrepar- premières (root causes) et la proposition de « faux-positifs » et des « faux-négatifs ».
ties et à l’intégrité des tiers. recommandations à valeur ajoutée. Définir le processus de traitement des
Le cognitif avec l’intelligence artificielle exceptions et notamment au regard du
(par exemple IBM Watson) promet une véri- Retours d’expérience pour volume potentiel.
table révolution dans l’analyse de données un déploiement efficace de
avec la capacité d’apprentissage automa- l’analyse de données Facteurs humains
tique. Ces outils, grâce à la capacité d’auto- Définir le socle de compétences néces-
matiser les analyses prescriptives, Même si nous avons évoqué la levée de saires à la bonne exploitation de ces
permettront une prise de recul avec des certaines barrières à l’utilisation de techniques données par les auditeurs internes
recommandations innovantes et perti- d’analyse de données (plus ou moins avan- (connaissance des systèmes et des
nentes. cées), certaines demeurent non négligeables. contrôles attendus).
Évaluer le besoin en termes de gestion du