12 mai 2020

pictogramme temps Lecture 4 mn

Les auditeurs internes face aux défis de la "digitalisation"

De plus en plus présentes au quotidien dans les missions d’audit interne, les nouvelles technologies peuvent faire peur et certains auditeurs craignent même d’être dépassés dans les années qui viennent. Mais fuir cette « digitalisation » serait une erreur, comme l’explique Sébastien Allaire, associé du cabinet Finaction & Associés, pour qui développer ses compétences « digitales » va devenir de plus en plus indispensable.
"La “ digitalisation” est aujourd’hui un terme un peu “ fourre- tout ” qui recouvre en fait plusieurs réalités, » explique Sébastien Allaire en préambule, « mais ce qui est surtout important à noter, c’est que lorsqu’une entreprise commence à l’utiliser dans ses différentes communications et que les auditeurs internes n’y font pas référence, c’est qu’il y a déjà un problème d’alignement par rapport à la stratégie de l’entreprise ».
Cela veut-il pour autant dire que les professionnels de l’audit, du contrôle et du risque n’ont pas encore assez pris la mesure de l’impact des nouvelles technologies sur leurs métiers ?
« Il apparaît d’abord nécessaire de définir le périmètre d’application de ce concept à l’audit interne : l’utilisation d’outils pour gérer les missions d’audit interne, le suivi des recommandations, le pilotage de la fonction ; la montée en compétences et en technologies des équipes d’audit informatique ; le volet analyse de données en amont et pendant les missions d’audit... Le niveau de maturité peut être différent en fonction des thèmes ».
 
Quels sont aujourd’hui les principaux outils et technologies observés au sein des fonctions d’audit interne ?
« Tout dépend bien sûr de la taille de l’entreprise et du service d’audit, » précise Sébastien Allaire, « les petites équipes ne disposent pas d’outils spécifiques.
Mais quand on doit gérer plusieurs centaines de lignes de recommandations sur Excel, il devient pertinent de considérer des solutions dédiées. Ce qui est quasi systématiquement le cas à partir d’une certaine taille d’équipe (disons une vingtaine d’auditeurs). Mais la plupart des utilisateurs avec qui j’échange se disent déçus, » indique-t-il, « ils les trouvent souvent compliqués, tout comme les mises à jour. La montée en compétences et le niveau d’utilisation de ces outils restent assez hétérogènes, et révèlent une maturité encore faible y compris au sein d’équipes de taille importante. Mais ils présentent l’avantage de proposer une structure pour les dossiers d’audit ».
L’analyse de données est également à l’agenda de toutes les équipes d’audit interne, ce qui se traduit par l’acquisition d’une à plusieurs licences pour des outils spécialisés (types ACL, IDEA ou autres solutions) mais révèle là aussi un niveau d’acquisition et d’utilisation très hétérogène.
« Deux pistes de réflexion apparaissent, » estime Sébastien Allaire, « L’objectif d’optimiser l’efficience de l’audit interne, notamment en automatisant certaines de ses tâches : états de reporting, génération automatisée de rapports d’audit, connexion des audités pour le suivi des recommandations, indicateurs d’alerte sur l’efficacité des contrôles par rapport à la sélection et la préparation des missions...
Et il faut aussi répondre aux évolutions technologiques : l’analyse de données est d’abord un outil métier, il entre dès lors dans le périmètre de l’audit. Il en est de même de l’automatisation croissante des processus ou du déploiement progressif de l’intelligence artificielle...
Ce qui peut nécessiter de développer des compétences d’audit des algorithmes et du code. En tant qu’auditeur, je devrai par exemple m’assurer qu’un algorithme permet effectivement aux métiers de prendre les bonnes décisions. La blockchain, la monnaie électronique, l’e- commerce, les infrastructures dématérialisées, les logiciels gérés par des tiers... sont également des domaines qu’il faudra être capable d’appréhender, sous la pression croissante et transversale de la cybersécurité. Les auditeurs internes vont donc devoir développer leurs compétences et être en mesure de challenger l’intégration des nouvelles technologies dans les métiers et l’innovation, au-delà des services informatiques ».
Ce qui ne veut pas dire que le portrait de l’auditeur interne de demain sera forcément différent de celui d’aujourd’hui. « Il est difficile et pas obligatoirement pertinent de recruter des spécialistes de la cybersécurité, par exemple, » poursuit Sébastien Allaire, « une entreprise n’a pas besoin d’avoir des experts dans tous les domaines. Il faut en revanche savoir chercher, en interne ou en externe, les compétences indispensables.
Les budgets d’audit étant souvent restreints, il peut être efficient d’identifier des “ guest auditors ” experts parmi les collaborateurs, qui pourront intervenir ponctuellement, à bon escient. Ce qui nécessite de mettre un programme spécifique en place ».
« L’auditeur interne ne doit pas avoir peur des sujets technologiques, » conclut Sébastien Allaire, « ils ne sont pas aussi incompréhensibles qu’on pourrait le craindre et sont en revanche devenus incontournables et représentent une forte valeur ajoutée, attendue par les organes de gouvernance. Il faut donc s’informer, se former et y faire face ».