Les entreprises font aujourd’hui face au défi du Digital. Le Digital, par l’intégration des technologies numériques, impose aux entreprises des changements profonds de leurs écosystèmes ; ces changements viennent modifier l’organisation, les processus, les stratégies et plus largement les cultures d’entreprise.
La fonction d’audit interne, dans sa mission de sécurisation des opérations de l’entreprise, est confrontée au Digital et aux bouleversements qu’il entraine dans le domaine de la donnée. Elle doit à ce titre développer sa capacité à identifier et saisir ces nouvelles opportunités, tout en adaptant son dispositif de maîtrise de l’activité à l’émergence de nouveaux risques.
Le Digital est à l’origine de nouvelles menaces très directes pour l’entreprise, au-delà des problématiques opérationnelles qui l’obligent à faire évoluer son business model face aux innovations de la concurrence.
Pour ne prendre qu’un exemple significatif, à l’ère du « Cloud » et du « Big Data », le transfert et le partage des données de sources variées s’intensifient, ce qui va de pair avec le développement de la cybercriminalité. Selon le baromètre du risque 2017 d’Axa, les « cyber-incidents » sont en 3ème position des 10 risques les plus significatifs pour l’entreprise. La facture d’une cyberattaque est parfois colossale et peut rapidement atteindre plusieurs centaines de millions d’euros. Face à cette menace, la fonction d’audit interne doit se positionner comme une ligne de défense pour l’entreprise et mettre en place un dispositif de sécurisation approprié sur la base de :
Le Digital vient aussi changer les méthodes et modes de travail des fonctions de l’entreprise. Le perfectionnement des outils d’analyse des données[1] et la généralisation des outils de business intelligence au sein des organisations permettent aux équipes d’audit interne d’automatiser et d’optimiser le traitement de la donnée de bout en bout, de la préparation jusqu’à l’analyse et la restitution. Des contrôles exhaustifs deviennent possibles et remplacent l’approche par échantillon « représentatif » dont la pertinence était limitée sur des volumes importants de transactions. L’auditeur peut dès lors se concentrer sur l’interprétation des analyses toujours plus avancées[2], l’élaboration de recommandations à valeur ajoutée, ainsi que la communication au management des messages clés[3].
Les nouveaux outils peuvent dépasser le cadre de l’audit interne pour répondre aux enjeux plus transverses de la fonction GRC (Gouvernance, Risque et Conformité) en intégrant les dimensions de contrôle et d’audit continu, de gestion du risque permanent, et de conformité[4]. Les équipes d’audit interne gagnent ainsi en temps et en efficacité dans leurs missions. Elles peuvent produire des analyses plus approfondies, focalisées sur les problématiques à enjeux pour les opérationnels, et dans des délais réduits.
Enfin, les innovations observées sont aussi les vecteurs de nouveaux modes de communication et d’organisation du travail. Les rapports d’audit passent du format papier au format numérisé, sont partagés sur des plateformes collaboratives[5]. Le travail à distance par visio-conférences[6] permet aux auditeurs internes de limiter leurs déplacements sur certaines phases de la mission pour alléger la pression sur les opérationnels, les contraintes sur leur vie personnelle, et réaliser ainsi des économies significatives.
A très court terme, le Digital vient changer le métier d’auditeur interne sur 3 principaux aspects :
Ces changements impliquent une révolution de positionnement pour l’auditeur interne qui devient un « Digital Internal Auditor » aux services d’opérations de plus en plus dématérialisées au sein de l’entreprise. Les compétences recherchées deviennent le Data Analytics, la maîtrise d’environnement et d’architecture IT complexes et une attitude de « Business Partner », relais des différentes fonctions de l’entreprise afin d’anticiper et de prévenir les risques dans un environnement toujours plus disruptif.
Dans quelques années seulement, ce sont de nouvelles tendances comme l’Intelligence Artificielle ou la Blockchain que devra appréhender l’auditeur interne. Expertise, positionnement et méthodes de travail devront encore évoluer pour faire face à l’informatique cognitive et à la capacité d’apprentissage automatique des outils. Quelle fiche de poste pour l’auditeur interne à horizon 2030 ?
Auteur : Charles RENAUD
AMRAE Les Rencontres - « Quelle protection pour les données personnelles d’une entreprise ou de ces clients ? », février 2017
Global Technology Audit Guide - « Evaluer le risque de Cybersécurité », février 2017
IFACI, entretien avec Jean-Marie Pivard, vice-président de l’IFACI, décembre 2016
[1] Type ACL, IDEA, et bientôt des solutions recourant à l’intelligence artificielle
[2] Analyses descriptives (où), diagnostiques (pourquoi ?), prédictives (que va-t-il se passer ?) et bientôt prescriptives (comment prévenir le phénomène ?)
[3] En s’appuyant notamment d’outils type Tableau Software ou Qlick
[4] Bwise, eFront, Eneblon, SAP GRC sont des exemples de SI GRC intégrés
[5] Sharepoint, Teams
[6] Skype, Google Hangouts, Appear. In