La reconversion, parent pauvre des politiques d…
Depuis plus d’une dizaine d’année, les apports théoriques des concepts de contrôle interne en continu et d’audit en continu ne font pas de doute.
Cependant, force est de constater que dans la pratique, leur mise en œuvre rencontre des succès variés. Bien souvent, la dimension technologique représente un facteur clé de succès. Ainsi, dans un contexte de digitalisation croissante des processus de contrôle et d’audit interne ainsi que de renouvellement de l’offre de logicielle (plateforme GRC , pure player, cloud ERP, …), les directions financières, du contrôle et de l'audit interne ont l’opportunité de passer efficacement à l’action et d’activer de nouveaux leviers technologiques et méthodologiques permettant de maximiser le retour sur investissement de ce type de démarche.
Le contrôle interne continu se définit comme l’ensemble des solutions permettant au management des entreprises de contrôler en quasi-continu l’évolution de leur business et ses potentielles dérives par rapport aux niveaux attendus de performance et d’efficacité.
L’audit en continu se définit comme l’ensemble des solutions permettant à l’audit interne de capter et de traiter en continu des informations ou des données provenant des processus de l’entreprise et pouvant alimenter des pistes d’audit. Les fonctions d’audit et de contrôle interne peuvent alors déterminer plus rapidement et plus précisément où concentrer leur attention et leurs ressources en support du management.
La digitalisation croissante de l’Entreprise et la diversification de son écosystème a pour effet de renforcer certains risques existants et d’en faire émerger de nouveaux. Dans ce contexte, le contrôle interne se doit de renforcer la robustesse et d’accroître l’efficacité de son dispositif de contrôle sur son périmètre historique constitué des processus comptables.
Les récents progrès technologiques permettent de traiter un volume plus important de données comptables pour y appliquer une série de contrôles automatisés. Grâce au data analytics et à l’intelligence artificielle, il devient possible de déployer des plans de contrôles et de collecter des preuves d’audit en continu par exemple dans le cadre de plan de contrôle SOX. La filière contrôle et audit interne dispose ainsi des moyens lui permettant de répondre plus efficacement aux principaux enjeux que revêt la gestion du risque des processus comptables : anticipation, réactivité, fréquence et précision du reporting, gestion de la complexité économique et réglementaire, élargissement du périmètre de contrôle, contribution au déploiement de la stratégie opérationnelle.
Afin de concrétiser ces gains potentiels il conviendra d’éviter les écueils auxquels se heurtent bien souvent ce type de projets. Au rang des principaux figurent le déficit de vision globale des impacts sur l’entreprise, un plan de déploiement trop ambitieux, un manque d’implication de la DSI en amont du projet ou une trajectoire de gain trop agressive en raison de la légèreté du business case.
L’offre de solutions de contrôle interne et d’audit en continu au sein du segment Governance Risk and Compliance est historiquement adressée par les grands acteurs des systèmes d’information comme IBM, SAP, Oracle ou RVR principalement autour de la mise en conformité aux lois Sarbanes-Oxley des entreprises cotées aux Etats-Unis. Progressivement, des acteurs plus spécialisés tels que Efront ou Enablon, ont développé des modules dédiés. Plus récemment, l’offre a été renforcée par l’émergence de pure players tels que la solution Supervizor.
Face aux différentes approches possibles, adopter une démarche comparative de choix de solutions sur des axes telles que la couverture fonctionnelle, la complexité de mise en œuvre mais également le prix et le ROI (Return on Investment), est essentielle.
Les coûts d’intégration d’une plateforme ERP peuvent être contenus notamment par la bonne préparation des phases amont du projet ainsi que la rationalisation des développements spécifiques. Il n’en reste pas moins que faire appel à une solution progicielle présente des coûts de licences particulièrement importants. Même si tous les utilisateurs n’ont pas vocation à utiliser un module GRC, le prix de la licence s’ajustant en fonction du nombre de ces utilisateurs et du rôle qui leur est dévoué, les prix peuvent facilement atteindre des centaines de milliers d’euros par an pour des modules tels que SAP GRC ou SAP Fraud Management.
Certainement plus important que le simple coût des licences progiciel sur la gestion des risques, le nombre de fonctionnalités natives de ce type de solution reste souvent assez limité. Comptez seulement, une cinquantaine de règles et de schémas de fraude spécifiques pour SAP Fraud Management par exemple. Pour étendre l’efficacité et le champ d’action de la solution, des coûts de développements supplémentaires sont à prévoir comme la programmation de règles supplémentaires ou l’accès au module complémentaire d’analyse prédictive de SAP.
Il faut généralement attendre plus d’un an pour voir apparaitre le retour sur investissement attendu. Cela est dû notamment à la complexité de mise en œuvre des solutions de type ERP. Néanmoins, ces dernières disposent de la robustesse nécessaire à la couverture de larges périmètres fonctionnels, outre le contrôle interne, et géographiques impliquant de multiples parties prenantes. Le choix d’une solution GRC provenant d’un grand éditeur d’ERP résulte bien souvent de la volonté de capitaliser sur une solution éprouvée ou de se procurer un progiciel connu auprès d’un fournisseur historique. Cette approche qui reste bien ancrée dans les pratiques, tend à se raréfier au profit de nouveaux acteurs proposant une offre plus spécialisée avec des délais de mises en œuvre plus courts.
Spécialistes du segment GRC comme Enablon, Efront et BWise ou du segment contrôle comptable et fiscal comme Supervizor, ces solutions proposent chacune un module de contrôle interne en continu. Ces modules sont notamment enrichis de fonctionnalités d’automatisation de test, de capacité de traitement de larges échantillons de données sur la base de contrôles prédéfinis dans l’outil ou à paramétrer. A titre d’exemple, la solution Supervizor propose un maillage complet des cas typiques de risques d’erreurs/fraudes (schémas comptables inhabituels, erronés ou interdits, écriture saisie un jour chômé, une écriture de banque saisies par un comptable fournisseurs, …) ou de trop-payés dans l’entreprise à partir de plus de 300 contrôles pré-paramétrés. Le module BWise Internal Control propose l’automatisation de contrôle SOX par exemple. Nous retrouvons également dans ce type de solutions, des fonctions de reporting et de data visualisation avancées qui facilitent l’identification et la compréhension des situations anormales, afin de mieux se différencier des ERP, généralement réputés pour leurs interfaces plus austères.
Des solutions telles que BWise Internal control ou Supervizor disposent également de multiples API utiles pour interfacer des dizaines de sources de données non-homogènes. Faciles à mettre en œuvre, elles bénéficient d’une souplesse et d’une adaptabilité plus élevées qu’une solution progicielle. L’utilisation récurrente des contrôles de l’outil et le traitement en continu ou quasi-continu des alertes remontées par ces solutions constituent déjà un audit en continu.
Bénéficiant de frais de structures plus faibles, les solutions best of breed présenteront souvent des prix moins élevés qu’une solution type ERP. Elles procurent également un ROI très court notamment grâce à leurs brefs délais de mise en œuvre.
La pérennité des démarches de contrôle et audit interne repose sur la capacité à maintenir des référentiels de contrôles pertinents, à challenger l’éditeur de manière vertueuse ainsi que sur la conduite fréquente de diagnostics de processus.
Ces diagnostics pourront s’appuyer sur une approche « process mining ». Autrement dit, il s’agit de l’analyse des risques par la donnée réalisée à partir des traces laissées dans le système par chaque évènement associé à la réalisation d’une tâche du processus. Dans ce but, il sera possible de faire appel à des éditeurs de solutions telles que Celonis ou à des consulting bots faisant l’objet de recherches au sein de Sia Partners.
Enfin, il est essentiel pour la direction financière de disposer des compétences nécessaires à l’exploitation des résultats fournis par ces solutions. Le défi à relever est de pouvoir définir des plans d’actions correctifs et préventifs permettant de traiter les causes racines des erreurs de comptabilité ou des fraudes, de garder la maîtrise du référentiel de contrôle et de tirer pleinement parti des leviers technologiques.
Les récentes avancées technologiques donnent l’opportunité aux directions financières, du contrôle et de l'audit interne de faire du contrôle et de l’audit en continu une réalité. La souplesse et l’adaptabilité des nouvelles solutions digitales facilitent les projets de déploiement de contrôle et de l’audit en continu. Néanmoins, le succès de ces démarches résidera également dans la définition d’une feuille de route dédiée qui permettra d’intégrer le contrôle et l’audit en continu à la politique de gestion des risques de l’entreprise, la gouvernance et l’organisation des fonctions contrôle et audit interne. Il conviendra également de conduire ces initiatives notamment en partenariat avec la DSI et de définir un plan de conduite du changement auprès des parties prenantes impactées.
Copyright © 2018 Sia Partners. Any use of this material without specific permission of Sia Partners is strictly prohibited.