Comment bâtir une fonction d'audit plus agile et plus consciente des technologies ? Quelles sont les nouvelles technologies d'audit nécessaires ? En quoi ces technologies modifieront-elles les plans et les activités d'audit ? Qu'en est-il de la gouvernance de ce nouveau monde courageux de l'assurance du risque ?

Les responsables de l'audit doivent comprendre que de meilleures analyses, la RPA (automatisation robotique des processus) et l'intelligence artificielle (IA) sont des technologies essentielles. La révolution qui se profile à l'horizon est transformatrice : les fonctions d'audit pourront faire de nouvelles choses.

À l'autre bout de cette révolution, les responsables de l'audit seront à la tête de fonctions d'audit plus agiles et plus réactives qui permettront d'établir des comités d'assurance du risque très pointus et de répondre aux exigences des dirigeants. Les fonctions d'audit interne pourront apporter une valeur ajoutée à l'ensemble de l'entreprise.

Néanmoins, quelle est la feuille de route à suivre pour parvenir à cette fonction d'audit orientée technologie ?

Les changements technologiques qui doivent se produire

Tout d'abord, les fonctions d'audit doivent s'éloigner des approches manuelles fastidieuses utilisées pour les tests de conformité et de contrôle SOX et s'orienter vers une surveillance automatisée. Mais les recherches montrent que cela n'est pas facile. Une enquête Protiviti menée auprès de plus de 1 100 responsables d'audit a révélé que les heures consacrées à la conformité SOX en 2017 ont augmenté de plus de 10 %.

Cela est dû en partie à des difficultés spécifiques en matière d'information financière, comme la norme comptable pour la reconnaissance des recettes. Une autre partie est due à des complexités organisationnelles comme l'intégration des fusions ou l'externalisation des processus d'entreprise. Les sociétés d'audit, soumises à la pression d'être plus sceptiques et d'exiger plus de données, sont une autre cause.

Les technologies nécessaires - le RPA, les analyses de données avancées, la visualisation des données, l'apprentissage automatique - ne sont pas des secrets. Mais elles se trouvent encore relativement bas sur la courbe d'adoption. Dans l'enquête Protiviti, 11 % des personnes interrogées utilisent le RPA, 8 % ont recours à l'analyse et à la visualisation avancées, et seulement 2 % ont mis en œuvre le Machine Learning.

Cela signifie que les fonctions d'audit interne présentent un potentiel futur énorme pour transformer leurs capacités d'assurance du risque. En effet, nous avons encore beaucoup de travail de fond à faire aujourd'hui pour construire les fondations.

Par exemple, si nous voulons construire un monde d'outils d'analyses de données diversifiées, une solide gouvernance des données devient alors cruciale. Les responsables de l'audit devront collaborer avec les propriétaires des processus d'entreprise dans les première et deuxième lignes de défense pour définir les données qui sont créées dans un processus d'entreprise numérique.

Les responsables de l'audit devront également travailler avec les unités opérationnelles sur la manière d'automatiser l'extraction et la migration des données de l'entreprise depuis les systèmes opérationnels vers les outils d'analyse ou de RPA préférés.

Les transformations à mettre en place au sein des équipes

L'adoption de ces nouvelles technologies est généralement faible car les équipes d'audit ne savent pas comment en profiter. Bien que ces technologies soient merveilleuses, comment une équipe d'audit composée de personnes réelles, surveillant les risques réels, peut-elle en tirer pleinement parti ?

Cela va nécessiter une planification réfléchie et des changements progressifs. Les responsables de l'audit devront réunir des personnes ayant l'expertise appropriée : data analysts, utilisateurs de processus métiers et professionnels de la cybersécurité. Ces compétences doivent ensuite être converties en pratiques d'audit fiables qui apporteront une assurance au CA.

Si on plonge tête baissée dans cette initiative, toutes sortes d'erreurs peuvent survenir. Il se peut qu'il y ait une incompréhension en termes de risque métier par exemple, conduisant à un processus automatisé qui ne génère pas les bonnes données. C'est là que repose le défi fondamental : ces technologies fonctionneront à une vitesse grand V, quel que soit le point de départ. Il est donc essentiel d'identifier les bons risques et les bons objectifs, ainsi que de développer les meilleures procédures d'audit à l'aide de ces technologies.

Les changements à opérer en termes de gouvernance

Les questions relatives à l'association des talents et des technologies appropriés en vue d'une fonction d'assurance du risque plus agile nous amènent au prochain défi que les responsables de l'audit doivent envisager.

Qui est à la tête de tout cela ? Qui déclarera la fiabilité de ces nouvelles capacités de garantie du risque ? À l'heure actuelle, personne ne le sait. Par exemple, les outils d'analyse des données, la RPA et le Machine Learning offrent de multiples avantages aux professionnels de la GRC. Et ces technologies commencent tout doucement à être adoptées. Toutefois, il n'existe pas encore de normes sur l'obtention d'une assurance sur les technologies elles-mêmes.

Comment un auditeur externe pourrait-il se sentir à l'aise avec l'efficacité d'un nouveau contrôle de supervision par exemple ? Devrait-il auditer le code source ? Effectuer ses propres tests aux frais du client ? Utiliser sa propre IA et ses propres visualisations ? Mais que se passe-t-il si son IA et la vôtre aboutissent à des résultats différents ?

La profession de l'audit n'a pas encore de réponses claires à ces questions. Le PCAOB (Public Company Accounting Oversight Board) cherche à savoir si une norme d'audit est nécessaire à cet effet, mais aucun délai n'a été fixé quant à la mise en place de ce type de norme.

Les responsables de l'audit devront donc réfléchir à la manière dont ils négocieront cet aspect avec les auditeurs externes, avec les dirigeants qui approuvent les investissements dans les nouvelles technologies de l'audit et avec les collaborateurs des unités commerciales qui travailleront plus étroitement avec les mécanismes d'assurance du risque créés.

Regardez deux statistiques du rapport de PWC sur l' état de l'audit interne en 2018. Premièrement, 53 % des responsables de l'audit déclarent utiliser des tableaux de bord et 33 % partagent ces tableaux avec d'autres fonctions de l'entreprise. Deuxièmement, ces mêmes personnes interrogées dans le cadre de l'enquête affirment que ces chiffres passeront à 85 % et à 71 % en 2020.

Autrement dit, les fonctions d'audit interne adoptent déjà la technologie de la prochaine génération. Il n'y a pas de scénario dans lequel la nécessité d'une meilleure assurance contre les risques est moindre. Il nous faut simplement une compréhension claire des implications.

Qu'est-ce que la réussite pour la fonction d'audit orientée technologie ?

Avant toute chose, un conseil d'administration tient à préserver la capacité de l'organisation à créer de la valeur. L'hypothèse implicite est cependant que l'organisation peut reconnaître à quoi ressemble une menace pour cette capacité afin d'y répondre en conséquence.

C'est ce qu'on appelle la prise de conscience du risque. Les conseils d'administration - et les cadres supérieurs ainsi que les responsables des opérations commerciales, d'ailleurs - ne veulent pas seulement la confirmation que leur activité professionnelle est efficace ou conforme à la loi. Ils veulent savoir que l'organisation peut réagir rapidement, voire immédiatement, à l'évolution des conditions commerciales.

La technologie existe pour permettre aux responsables de l'audit interne de développer cette capacité de prise de conscience du risque et la fonction d'audit elle-même est parfaitement adaptée à ce travail. Cette tâche nécessitera de nouvelles collaborations avec des talents tant à l'intérieur qu'à l'extérieur de l'entreprise, ainsi qu'une stratégie réfléchie pour prendre toutes ces ressources et les transformer en une fonction d'audit de nouvelle génération. Il faudra de la compétence et de la délibération, amplifiées par la technologie. Quoi qu'il en soit, ce futur est à venir. C'est un fait que nous connaissons tous déjà.