Beruflich Dokumente
Kultur Dokumente
ui%%aume uisset
© Graphicroyalty - Fotolia.com
D
ans un monde en pleine transfor- turées (messages, vidéos, par opposition aux
mation avec la digitalisation des Management attendent plus encore de données structurées provenant souvent des
entreprises, les modèles écono- leur direction d’audit interne qu’elle se ERP). Cette révolution est aussi celle des outils
miques sont en pleine évolution et comporte en partenaire d’affaires en de visualisation des données (par exemple,
ils impactent très fortement les modèles apportant de la valeur ajoutée aux direc- Qlik, Tableau Software…), qui ont permis de
opérationnels. Nous assistons à une mutation tions métiers. faciliter la prise en main et le partage des
en profondeur des organisations, des proces- analyses en les rendant graphiques et intui-
sus et de la culture des entreprises. Les nouvelles technologies liées à la révolu- tives pour des utilisateurs non experts.
tion de l’analyse de données sont une formi-
L’audit interne a pour mission de donner de dable opportunité pour les directions d’audit Les niveaux d’intégration et
manière indépendante et objective « à une interne de répondre à ces attentes en permet- d’automatisation de l’analyse
organisation une assurance sur le degré de tant notamment de quantifier les impacts, de de données au sein de l’audit
maîtrise de ses opérations, lui apporter ses les prédire, de valoriser les enjeux financiers interne
conseils pour les améliorer, et contribuer à et de proposer des recommandations perti-
créer de la valeur ajoutée »1. Or, les attentes nentes. Les techniques d’analyse de données sont
du management et des comités d’audit sont déjà présentes au sein des fonctions d’audit
grandissantes notamment sur deux aspects Les récentes évolutions du marché ont en et de contrôle interne, avec des degrés d’uti-
du rôle de l’audit interne : outre levé un certain nombre de barrières à lisation plus ou moins importants. Il apparaît
D’une part, l’attente quant à la couverture l’utilisation des technologies Big Data. Ces que de nombreuses directions d’audit interne,
des risques émergents est très forte et dernières permettent désormais de traiter des bien que convaincues des bénéfices de l’uti-
seulement 5 % des membres de la direction volumes de données très significatifs (avec le
et des comités d’audit estiment recevoir déploiement par exemple des technologies
une information de qualité de leur direction de type Hadoop, SAP Hana ou Oracle 1 Source IFACI, Définition de l’audit interne.
d’audit2. Exalytics) et d’analyser des données non struc- 2 Seeking value for internal audit – KPMG 2016.
i eau0 de
i eau i eau i eau i eau i eau
maturité
IHAHgraAiHH deH AudiAeH cHHAiHu AHHuraHce eH
MHAhHdHlHgie AudiAeAcHHArLle
AudiAAradiAiHHHel aHalyHeHde dHHHHeH eAHvaluaAiHH deH cHHAiHu de la
d’audiAiHAerHe eH cHHAiHu iHAHgrHH
Ad HHc riHHueHeH cHHAiHu geHAiHH deHriHHueH
Analyse stratégique
Développement du
plan d’audit interne
Réalisation des
missions et
établissement des
rapports
Amélioration en
continu
Descriptive, Descriptive,
Descriptive,
Types de données Descriptive, Diagnostique, Diagnostique,
Descriptive Diagnostique,
applicables Diagnostique Prédictive, Prédictive,
Prédictive Prescriptive Prescriptive
lisation de l’analyse de données, n’ont pas i eau de maturité udit traditionne% lyse de données est automatisée sur les
réussi à les démontrer. Nombre d’entre elles L’utilisation d’analyses de données est limi- processus clés, les programmes de travail
ont considéré comme suc sant l’investisse- tée à des rapports d’exception et à prennent en compte l’analyse de données,
ment dans des outils et des spécialistes quelques analyses de données descriptives l’utilisation d’analyses prédictive et pres-
(internes ou externes). Mais pour une (notion abordée ci-dessous). criptive est rendue possible.
approche ec cace et durable, l’analyse de
données nécessite plus que d’ajouter de la i eau de maturité nté ration i eau de maturité udit et ontr %e
« technique » au sein de ses activités quoti- d ana%1se de données d!o en ontinu inté rés
diennes. MBme si ces éléments sont fonda- Plan d’audit : l’utilisation d’analyses réalisées Plan d’audit : Les risques prioritaires font
mentaux, uHe rHfleEiHH pluHHAraAHgiHue eHA par les opérationnels permet de réaliser des l’objet d’analyses intégrées dans les
HHceHHaire autour de l’évolution de la faBon comparaisons et des analyses de risque. systèmes d’information de l’entreprise, des
dont les audits sont planifiés, exécutés et Exécution des missions et reJ orting : l’utili- analyses et outils de pilotage des contrôles
partagés, ainsi que dans la faBon d’interagir sation d’analyses descriptives permet une et des risques sont exploitées par les direc-
avec les parties prenantes. Le GTAG BB R dispo- analyse des risques et du périmètre de la tions métiers, les analyses prédictives et
nible sur le site de l’I ACI R présente les phases mission. prescriptives sont réalisées en complément
clés de la mise en œuvre de l’audit en continu pour ac ner les analyses de risques.
et donne plusieurs études de cas. i eau de maturité udit en ontinu Exécution des missions et reJ orting : Des
et é a%uation des ris ues en ontinu procédures de tests automatisés sur
Les directions d’audit doivent définir le niveau Plan d’audit : l’utilisation d’analyses sur les certains objectifs d’audit permettent de
de maturité qu’elles souhaitent atteindre. risques prioritaires est systématique, l’ex- faire des audits par exception, l’audit
Néanmoins, cette transformation de l’audit traction est automatisée et des outils de interne a accès à l’ensemble des outils de
interne doit Btre progressive dans le temps visualisation sont en place, la réalisation pilotage des contrôles, la qualité des
mais aussi en parallèle des autres directions d’analyses prédictives est réalisée lorsque données est pilotée par les opérationnels,
(contrôle interne, conformité, risques, nécessaire. des analyses prédictives et prescriptives
systèmes d’information, métiers, financière et Exécution des missions et reJ orting : l’ana- sont réalisées en complément.
Direction générale).
À titre d’illustration, cinq niveaux de maturité J Global TechnologDAudit Guide J Audit en continu JCoordonner l’audit et le contrôle en continu J our fournir une aJJurance continue. 2016.
peuvent Btre proposés : J
BeJt J racticeJ in AnalDticJ Jintegrating AnalDtical CaJ abilitieJ and J roceJJ floB J, Gartner, MarJ 2012.
de nouvelles menaces, notamment en services ponctuels peut permettre aux direc- Définir un programme de protection des
termes d’image (e-reputation) pour les tions d’audit interne d’accélérer leur projet de données (personnelles ou critiques) en
entreprises. Ces menaces et leur gestion digitalisation en profitant de solutions, de accord avec les enjeux réglementaires
ont fait naitre un éco-système d’outils et technologies, d’expertises et de cas d’utilisa- (C( IL ou avec le Règlement Général sur la
de services autour de la gestion des tion. À titre d’exemples, citons des applica- Protection des Données au niveau
réseaux sociaux. Les HuAilHd’aHalyHe de tions pour l’analyse des taxes indirectes, le EuropéenT ).
la eHrepuAaAiHH(par exemple Bottlenose) parcours client, l’optimisation des processus - écuriser et protéger les données et
permettent de détecter les sujets les plus ERP, la cyber sécurité et les analyses secto- analyses.
fréquents sur les réseaux sociaux, ainsi rielles T
que d’identifier l’aspect positif ou négatif ti isation et inté ration de ana se
du commentaire pour l’entreprise. Ces démarches peuvent en ebet permettre de de données dans es audits
- DHAecAiHH deH riHHueH de cHrrupAiHH H limiter la dic culté de certaines organisations aire évoluer les approches d’audit et les
Certains outils (par exemple Astrus) à disposer des compétences et de ressources programmes de travail en incluant l’analyse
permettent de faire une analyse des en interne et de se concentrer sur l’acquisition de données.
contreparties et d’émettre des rapports des compétences nécessaires à l’exploitation Définir ce qui est attendu de l’analyse de
avec l’aide de consultants de due dili- de ces résultats, l’analyse des causes données : exceptions, identification des
gence sur les risques liés aux contrepar- premières Jroot cauJeJJ et la proposition de « faux-positifs » et des « faux-négatifs ».
ties et à l’intégrité des tiers. recommandations à valeur ajoutée. Définir le processus de traitement des
Le cHgHiAif avec l’iHAelligeHce arAiNcielle exceptions et notamment au regard du
(par exemple IBM Watson) promet une véri- j etours d’exj érienj e j our volume potentiel.
table révolution dans l’analyse de données un déj loiej ent ej j aj e de
avec la capacité d’apprentissage automa- l’analyse de données a teurs umains
tique. Ces outils, grâce à la capacité d’auto- Définir le socle de compétences néces-
matiser les analyses prescriptives, MBme si nous avons évoqué la levée de saires à la bonne exploitation de ces
permettront une prise de recul avec des certaines barrières à l’utilisation de techniques données par les auditeurs internes
recommandations innovantes et perti- d’analyse de données (plus ou moins avan- (connaissance des systèmes et des
nentes. cées), certaines demeurent non négligeables. contrôles attendus).
Évaluer le besoin en termes de gestion du