Transformation du contrôle interne
Selon la dernière PwC Global Risk Survey, 75 % des fonctions de gestion des risques prévoient d’augmenter leurs dépenses technologiques et mettent en priorité trois domaines : l’analyse de données, l’automatisation des processus et les outils de détection et de pilotage des risques.
La trajectoire est donnée, et elle concerne au premier plan le contrôle interne et sa capacité à se connecter aux données pour simplifier et piloter le contrôle interne. Le marché est très actif avec profusion de solutions, qu’en est-il réellement ?
Notre conviction : il n'existe pas de solution miracle pour le contrôle interne.
La promesse d’un outil qu’il suffirait de brancher pour obtenir très rapidement l’ensemble des analyses et pilotages nécessaires donnant du confort sur la réalisation des contrôles peut sembler attirante.
Quels retours d'expériences avons-nous entendu ?
Tout d’abord, il est illusoire d’imaginer un outil qui peut se connecter sur l’ensemble des systèmes qu’une entreprise peut utiliser. Les outils sont souvent ciblés sur quelques ERP, les principaux évidemment, et même dans ce cas peuvent ne pas appréhender les spécificités de configurations entre les différentes filiales.
Étendre à des systèmes additionnels requiert des investissements et la capacité de l’éditeur à suivre la feuille de route des ERP pour adapter en continu ses propres développements.
Ensuite, ces solutions offrent parfois un très (trop ?) large choix de requêtes de contrôle, qui peuvent dans certains cas fonctionner en mode “boîte noire”. Exploiter tous les résultats et les comprendre peut représenter un investissement significatif.
Enfin, certains outils nécessitent de sortir toutes les données comptables de l’entreprise, ce qui ne manque pas de générer des inquiétudes face aux risques cyber.
Quels critères privilégier dans la solution cible ?
L'offre s’enrichit en permanence. Le sentiment est que, pour accélérer correctement l’utilisation de la data dans le contrôle interne, il faut sans doute privilégier les solutions répondant aux critères suivants :
- Une capacité à traiter tout type de données, qu’elles proviennent d’ERP dits classiques ou de systèmes propriétaires : ce qui signifie pouvoir requêter directement des bases de données ou disposer d’une palette assez large de connecteurs ;
- Un langage de rédaction de requêtes accessible pour les nouvelles générations d’auditeurs et contrôleurs internes, et surtout garantissant la transparence et la maintenabilité ;
- Une limitation des sorties de données de l’entreprise aux atypies ou indicateurs recherchés ;
- Une disponibilité de systèmes de workflows documentés d’analyse, aisément mis en œuvre, idéalement via une solution cloud ;
- Des tableaux de bord facilitant l’expérience utilisateur ;
- Une diffusion large de la solution ou à tout le moins une dimension de l’entreprise qui la porte, garantissant la pérennité des investissements et une projection, si nécessaire, dans le monde entier.
Tous ces facteurs permettront à la fonction contrôle interne de se rendre autonome sur le déploiement et l‘utilisation de la solution retenue.
La technologie idéale pour le contrôle interne existe-t-elle sur le marché ?
L’idéal serait évidemment de pouvoir intégrer complètement la data dans les processus gérés par les applications déjà utilisées par les fonctions contrôle interne pour gérer les référentiels de contrôle, piloter les campagnes d'auto-évaluation ou de test, gérer les plans d’action et préparer les reportings.
Les éditeurs de solutions de gouvernance, risque et conformité (GRC) se projettent de plus en plus vers le contrôle en continu, ajoutant une dimension data à leurs solutions contrôle interne, et les benchmarks intègrent de plus en plus cette dimension dans leur évaluation des solutions GRC.
Les approches peuvent être différentes, avec des éditeurs qui ont un socle historique plus orienté data qui leur permettent de mieux répondre aux facteurs cités précédemment. D’autres partent d’un socle historique plus complet sur les dimensions classiques et ajoutent des capacités d’intégration de la data.
Pour les entreprises déjà équipées d’un outil de GRC qui ne répond pas complètement aux besoins de contrôle en continu, aller vers une nouvelle solution plus intégrée sera complexe. Les processus de décision seront longs avec certainement des arbitrages par rapport aux fonctionnalités de la solution existante qui ne seront pas présentes dans la nouvelle, sans compter l’impact sur les utilisateurs au-delà de la fonction contrôle interne...
Alternativement, garder deux solutions et justifier la coexistence de deux systèmes GRC offrant des fonctionnalités similaires, par exemple pour les campagnes d’autoévaluation ou la gestion des missions d'audit interne, serait difficile.
C’est sans doute la raison pour laquelle nous voyons encore peu d’implémentations de solutions complètement intégrées.
What's next ? Faire rimer digitalisation et valeur ajoutée
Nul doute que les solutions data pour le contrôle interne vont continuer à évoluer, avec des startups qui émergent. Les roadmaps des éditeurs de solutions de GRC vont elles aussi continuer à s’étendre.
L'Intelligence Artificielle recèle également de nombreuses promesses. Nous n’y sommes pas encore, mais les investissements des acteurs du conseil, des startups et des éditeurs vont nous y amener.
En attendant, les entreprises françaises sont pour la plupart confrontées aux exigences en matière de contrôles comptables Sapin 2. Le choix de la solution est clé pour en faire non seulement un outil de conformité mais aussi dégager une vraie valeur ajoutée de la digitalisation du contrôle interne.