CONTRÔLE INTERNE et AUTOMATISATION : du risque à l’opportunité

Pourquoi évoquer le poids du cadre légal et réglementaire ? Parce que sur les dernières années, de plus en plus d’entreprises ont dû s’interroger sur leur niveau de contrôle et sur la façon dont elles abordent les risques pesant sur leur activité. En France, rappelons que les nombreuses entreprises déjà soumises à l’obligation d’audit légal^[1] devaient prouver que leur dispositif de contrôle interne était suffisant pour se prémunir des principaux risques financiers. La récente réglementation européenne renforce cette obligation. Également, dans le cadre de la Loi Sapin II (2016), les entreprises dépassant certains seuils^[2] ont l’obligation de mettre en place un dispositif de contrôle interne afin de lutter contre la corruption. 

D’autres textes sont applicables en fonction des secteurs d’activité. C’est l’exemple du règlement DORA, orienté sur le risque cybersécurité dans le secteur bancaire. Les organisations peuvent également décider, volontairement, de s’inscrire dans une logique d’amélioration continue des processus de contrôle interne. C’est le cas, par exemple, des sociétés certifiées ISO9001, dont la démarche peut être motivée par la recherche d’excellence et de performance des processus de contrôle et de qualité, ou par la volonté de répondre aux exigences d’un client ou d’accéder à un nouveau marché.

En parallèle, les entreprises se sont dotées d’outils pour automatiser l’ensemble de leurs processus opérationnels et de gestion. Si cette tendance n’est pas nouvelle, elle rend possible la multiplication des attaques cyber. C’est pourquoi ce risque est désormais sur le podium des préoccupations des entreprises. Cette inquiétude s’explique par la fréquence de ces attaques puisqu’au moins une entreprise sur 2 aurait été victime d’une cyberattaque réussie entre 2020 et 2023^[1]. L’ampleur du risque cyber est également de taille puisqu’on estime le coût moyen d’une attaque cyber de plus de 4 millions de dollars^[2]. 

Suivre et renforcer ses processus de contrôle interne présente plusieurs enjeux : l’inscription du contrôle interne dans un environnement informatisé, l’utilisation des bons outils pour équiper le contrôle interne et tout ceci dans un budget cohérent. 

^[1] La nomination d’un commissaire aux comptes est obligatoire dès lors que 2 des 3 seuils suivants sont franchis : un total bilan de 5 millions d’euros, un chiffre d’affaires de 10 millions d’euros et 50 salariés

^[2] Plus de 500 salariés, présentant un chiffre d’affaires de plus de 100 millions d’euros,

1. LES CONTROLES EMBARQUÉS DANS LES OUTILS METIERS

Les technologies utilisées dans la gestion de vos opérations ou des fonctions supports, (solutions de paiements, ERP, Outil de gestion du Procure-to-Pay, outil de paie etc.) apportent risques et opportunités dans la gestion du contrôle interne. Lors de l’acquisition d’un nouvel outil ou en vue de son évolution, il convient donc de s’interroger sur les opportunités de renforcer les contrôles, soit pour limiter les risques de fraude, soit pour améliorer l’intégrité de l’information.

Le lien est évident lorsque l’on investit dans une solution de paiement, mais beaucoup moins lorsque l’on cherche à développer ou « upgrader » un outil de gestion des livraisons ou de suivi des ventes par exemple. Or, contrôles bloquants, réconciliations ou alertes automatiques permettent de limiter les erreurs quelle que soit la fonction du logiciel. Certains outils, dotés d’intelligence artificielle, permettent d’automatiser les processus mais également les contrôles (identification de transactions suspectes, détection de schémas de fraude ou encore, assistance dans la gestion et le contrôle des notes de frais). C’est le cas, entre autres, des solutions Expensya pour la gestion des dépenses, Medius Capture pour les factures fournisseurs ou de la banque Qonto qui utilise et propose des outils de schématisation de fraudes courantes.

Au-delà des spécificités fonctionnelles d’un projet de déploiement, tenir compte des attentes en termes de cybersécurité, de sécurité de l’information et d’intégrité du système lors de la phase d’étude et de spécifications, pourrait alors vous protéger et vous faire gagner un temps précieux par la suite. Le fait que l’éditeur soit certifié ISO27001 par exemple, offre également une assurance quant à l’importance qu’il accorde au concept de « Security-by-design ». 

^[3] Selon l’étude Analyse du risque humain publiée par SoSafe en 2023

^[4] D’après l’étude d’IBM Coût de violation des données

2. LES OUTILS DE GESTION ET D’OPTIMISATION DU CONTRÔLE INTERNE

Divers outils spécialisés visent à accompagner les entreprises dans la gestion de leur stratégie de contrôle interne. Certains proposent une assistance clé dans la coordination des campagnes d’auto-évaluation du contrôle interne, d’autres, destinés aux auditeurs internes, permettent de formaliser leurs contrôles et leurs conclusions. Toutefois, de nombreuses entreprises sont encore dotées de modèles anciens, peu adaptés aux utilisateurs et aux spécificités. Un outil difficilement maniable tend à décourager les acteurs du contrôle interne.

Des alternatives existent grâce aux logiciels de GRC :

LES OUTILS DE GRC – GOUVERNANCE RISQUE ET CONFORMITÉ

Ces outils sont dédiés au suivi des politiques de contrôle interne et à leur mise en place. Ils permettent notamment d’apporter une réelle cohérence entre la gouvernance de l’entreprise, l’approche par les risques, les matrices de contrôle et le suivi de la bonne mise en œuvre des contrôles. Ils offrent donc un support appréciable pour suivre l’ensemble du processus, de l’analyse du risque à l’audit interne, tout en gérant, dans certains cas, le partage d’information entre les instances concernées (Comité d’audit, direction générale ou, simplement, président de société). Il convient toutefois de s’assurer de la pertinence d’un tel investissement pour une organisation, en fonction de sa taille, de sa structure et du cadre légal dans lequel elle évolue. Il est également nécessaire de s’assurer de la correcte intégration de l’outil, à la fois d’un point de vue « expérience utilisateur » et « conduite du changement », mais également dans l’adéquation entre le design de l’outil et l’organisation du bénéficiaire. 

De nombreux éditeurs proposent ces outils GRC (Sailpoint, SAP Signavio ou encore Diligent). 

CHOISIR UN OUTIL EN CONNAISSANCE DE CAUSE

Identifier et analyser les risques pesant sur l’organisation est une première étape permettant d’obtenir une vision globale des besoins en termes de contrôle interne. 

Pour que les investissements destinés au contrôle interne soient pertinents et pour pouvoir « embarquer » l’ensemble des acteurs concernés, il est nécessaire d’identifier les risques propres à l’entreprise, leur probabilité d’occurrence et leur impact théorique. Toutefois, il est essentiel d’identifier également les parties prenantes du contrôle interne. Elles feront la réussite ou l’échec d’une stratégie de déploiement d’un système de management du contrôle interne et des outils.  

Se faire accompagner par un cabinet spécialisé lors du choix de l’outil et, surtout, lors du déploiement d’une politique de contrôle interne, présente une solution pertinente pour les entreprises dont la taille ou le budget ne permet pas de bénéficier d’une fonction dédiée.