Audit & Contrle internes

n212 - nov.-dc. 2012 Yohann Vermeren - Directeur, KPMG Advisory

Avec laimable autorisation de la Revue Audit & Contrle internes : www.ifaci.com

DOSSIER

Les outils informatiques au service des auditeurs et contrleurs internes

Yohann Vermeren - Directeur, KPMG Advisory - Membre de l'Unit de Recherche Informatique
de l'IFACI

orsquon se pose la question

tests, et den faire un suivi rgulier. De la mme manire, quelques directions daudit ont dploy des outils spcialiss dans la fonction audit interne . Il en est de mme pour la fonction gestion des risques . Depuis maintenant plusieurs annes, on constate une tendance forte vers la convergence des processus de gouvernance, risques, contrle et conformit1. GRC (Governance, Risk and Compliance) est une approche oriente processus permettant didentifier les risques au sein dun processus, dvaluer les contrles en place pour sassurer de la mise sous contrle de ces risques. Les diteurs des diffrents domaines (risques, contrle interne, audit, proces-

interne), la gestion des risques, la gestion de laudit et la gestion des politiques et procdures. Il nen reste pas moins que de nombreuses entreprises, ntant pas convaincues par lapport dune solution intgre, choisissent une approche modulaire en fonction de leur besoin prcis, c'est--dire en dployant seulement les fonctionnalits daudit interne ou de contrle interne dun outil par exemple. Les analyses considrent que les solutions proposes sur le march ont atteint une maturit en termes de couverture fonctionnelle ; la diffrenciation se joue dsormais sur les fonctionnalits de gestion de risques et de la prise en compte des impacts de ces risques sur la performance de lentreprise. La tendance du march va aussi clairement vers une plus forte intgration avec les outils de type CACM (prsents ci-dessous), de Business Intelligence, pour amliorer le pilotage global de lentreprise, voire mme avec les ERP pour une intgration encore plus complte.

quels sont les outils informa-

tiques mis au service des direc-

tions daudit et du contrle internes ? ,

on simagine que ces directions utilisent lensemble des outils mis disposition de lensemble de la socit, c'est--dire, la messagerie, les applications bureautiques et ventuellement les solutions intranet et portails collaboratifs, ce qui est effectivement le cas en tout premier lieu. Nanmoins, bon nombre de socits ont dj mis en place tout ou partie de solutions plus pousses et ddies lamlioration de lefficacit, de la qualit et de la communication des mtiers dauditeurs, de contrleurs et de gestionnaires des risques.

Les outils supports des processus mtier

On observe durant lre Sarbanes Oxley (2003 - 2004) puis LSF (Loi de Scurit Financire) une vague importante de dploiement doutils permettant de documenter les processus de contrle interne , dvaluer les contrles et les

sus) ont fait voluer leurs solutions pour couvrir tout ou partie du spectre complet de la GRC (Bwise, Enablon, eFront, RVR, etc.). On note aussi larrive des diteurs dERP sur une partie des fonctionnalits couvertes par la GRC (Oracle ou SAP). Les fonctionnalits couvertes par de tels outils sont la conformit (valuation du contrle

12

Audit & Contrle internes n212 - nov.-dc. 2012

Les outils informatiques au service des auditeurs et des contrleurs internes

Les outils de contrle et audit continus

L'audit continu (CA pour Continuous Auditing) et le contrle continu (CM pour Continuous Monitoring) ont pour objectif doffrir une meilleure transparence des oprations et dassurer la rgularit de la production du reporting, et ce au plus prs du temps des activits oprationnelles, grce des outils de dtection et de pilotage. Le contrle continu est un mcanisme automatis permettant au management de sassurer que les systmes et les contrles fonctionnent conformment aux dispositions tablies lors de leur conception, et que le traitement des oprations est rgulier. Laudit continu consiste assurer la collecte automatise, rgulire ou continue, de preuves daudit et d'indicateurs. Les bnfices attendus de telles solutions sont les suivants : accrotre les capacits de surveillance des risques et des contrles laide doutils de pilotage et didentification anticipe des risques (notamment lis la fraude) ;

optimiser la ralisation de tests defficacit des contrles et des oprations grce lautomatisation ; communiquer des indicateurs dactivit pertinents au Comit de direction. On retrouve sur ce type de solutions des acteurs diffrents : les diteurs dERP (Oracle, SAP) qui ont accs facilement aux donnes de leurs propres solutions ; les diteurs doutils danalyse de donnes (ACL) qui facilitent le traitement et la restitution des donnes pour les contrleurs et auditeurs ; les diteurs de GRC (Bwise) proposent des fonctionnalits permettant dintgrer le CACM au sein de leur plateforme.

afin : de dfinir et de slectionner des chantillons de tests ; dvaluer lefficacit dune chane de contrles ; danalyser des transactions spcifiques et/ou significatives au sein dun systme dinformation ; de revoir le paramtrage dun systme dinformation ; de quantifier limpact dun contrle dfectueux. On ne peut plus parler doutils danalyse de donnes sans parler de contrle et daudit continus (CACM), lanalyse de donnes systmatique et industrialise tant la premire brique la mise en place dun contrle permanent rcurrent. Ces outils permettent effectivement lautomatisation des requtes de contrles, des tableaux de bord dalertes.

Les outils danalyse de donnes

Ce dossier prsente un dernier type doutil utilis par les directions daudit et du contrle internes que sont les outils danalyse de donnes. Ces outils sont trs largement rpandus au sein des directions (notamment ACL ou IDEA), sans tre utiliss de manire systmatique et sans tirer profit de lensemble des fonctionnalits qui sont proposes. Selon le GTAG 16 , lutilisation des technologies danalyse de donnes est de nos jours un atout majeur qui permet aux auditeurs daccrotre la couverture de leurs audits, dtre plus efficaces et davoir un degr dassurance plus important. Ces solutions permettent de raliser une analyse approfondie du contrle interne
3

* *

Il existe de nombreux autres outils spcialiss, pouvant ventuellement faciliter la ralisation de missions daudit ou lvaluation du contrle interne, qui ne sont volontairement pas mentionns ici. La liste en serait trop longue et comporterait des outils trop spcifiques (dtection du risque de blanchiment, assuetc.). rance, intrusions rseaux informatique,

Etude KPMG international The convergence challenge 2010, 64 % des rpondants considrent la mise en place dune organisation GRC intgre comme une priorit.

Global technology audit guide 16: data analysis technologies / Altus J. Lambrechts, et al. IIA, 2011.

nov.-dc. 2012 - Audit & Contrle internes n212

13