L'apparition d’outils informatisés est en train de bousculer l’audit et le contrôle interne. Avec ces Caat (Computer assisted audit techniques) il n’est plus question de se contenter de quelques investigations sur des applications isolées. Le système d’information devient trop complexe et trop intégré pour que l’auditeur s’y retrouve sans boussole ! La réactivité exigée est telle que l’audit « post-mortem » ne suffit plus. Il faut donc désormais mettre en place un contrôle interne préventif, assis sur des outils automatisés. Plusieurs informations remontent alors. Comme, le fait qu’il n’existe pas, à ce jour, de base centralisée des outils d’audit existants sur le marché. De plus, les besoins d’innovation autour de ces outils ne sont pas systématiquement formulés et les coûts de contrôle ont aussi bien besoin d’être optimisés. Cela veut dire qu’il faudra réduire les phases de collecte et de vérification pour consacrer le maximum de temps à l’analyse. D’où le besoin d’avoir des outils de collecte et d’automatisation des vérifications « standards ».

Vers une convergence des méthodes entre auditeurs internes et externes

La généralisation des Progiciel de gestion intégré (PGI ou ERP) dans les entreprises, impliquant la centralisation de tous les circuits d’information, est une opportunité pour les auditeurs qui veulent obtenir des résultats concrets et quantifiables fondés sur les données internes. Cela implique de pouvoir se brancher directement sur le PGI. A ce niveau, la convergence des méthodes entre les auditeurs internes et externes s’accroît et les outils utilisés sont de plus en plus partagés. Enfin, il faut noter la convergence des nombreuses problématiques de l’entreprise : audit, contrôle interne, qualité, conformité, gouvernance IT, analyse de risque, remontée d’incidents… matérialisée par l’émergence du trigramme GRC (Governance, Risks and Compliance). Les outils peuvent aider à formaliser cette convergence notamment en partageant des référentiels communs et des bonnes pratiques. Le choix d’un outil pour l’auditeur suit exactement le même cheminement que le choix d’un outil de gestion pour une entreprise. D’abord avec une expression des besoins. Puis une analyse des solutions existantes en fonction de plusieurs critères : adéquation de l’outil aux besoins (et pas le contraire…), coûts, capacité à être utilisé par les personnes (compétences nécessaires). Vient ensuite la phase de choix. La mise en œuvre (paramétrage) débouche enfin sur un test (projet pilote) avant le déploiement final.

Les outils proposés appartiennent à deux segments

Quelques points clés complémentaires servent à finaliser le choix de l’outil. A ce stade il s’agit d’étudier sa capacité à maintenir l’acquis (capitalisation de connaissances). Pour cela, il ne faut pas hésiter à faire un petit tour à l’international car certains pays ont une approche plus « outil » qu’en France (Canada, Etats Unis, Afrique du Sud). Plusieurs populations sont visées dans la démarche : l’auditeur (interne et externe), le gestionnaire de risque (Risk Manager), la direction des systèmes d'information (DSI), la direction financière, les éditeurs qui mettent à jour leur offre produit. Enfin, il est indispensable de compléter l’implémentation d’un outil Caat par un plan d’actions pour optimiser les processus supportés par le SI en regard des alertes remontées et mettre en place un mécanisme de traitement des fraudes. Les outils proposés appartiennent aujourd’hui à deux segments. L’audit du SI (technique, fonctionnel, réglementaire) et l’audit par le SI (financiers, réglementaires, processus). Les utilisateurs (auditeurs, Risk Manager…) consultent l’offre produit en fonction de plusieurs clés de recherche selon une grille d’analyse spéciale. UNE GRILLE POUR ÉVALUER LES PRODUITS CAAT

Agrandir l'image

Source : Guide Informatique Légende : L’axe « complexité » permet d’identifier les outils a priori accessibles aux débutants ; c’est à dire ceux pour lesquels il peut être envisagé de former les étudiants dans le cadre de leur cycle de fin d’études. A contrario, pour certains autres outils, il sera nécessaire de disposer d’experts internes ou externes. Quatre grands outils de Caat sont proposés sur le marché : • CCM d’ACL pour les Outils de Contrôles Continus, • Virsa (appartenant à SAP) pour les outils de monitoring de contrôle interne pour les PGI, • Enablon pour le contrôle interne et de la gestion des risques associé à un retour d’expérience client, • RVR pour les outils supportant une démarche Sarbanes-Oxley associés d’un retour d’expérience client. Leurs apports sont multiples, notamment pour identifier les paiements de facture en double ; identifier des paiements à des vendeurs suspects, ou des numéros de factures suspects ; analyser les transactions douteuses sur les cartes d’achat des collaborateurs ; contrôler les processus métier et les règles de gestion métier implémentées ; détecter les fonctions conflictuelles inter SI ou intra SI (segregation of duties…) ; analyser le risque sur un utilisateur en fonction de ses rôles ; tracer les activités du contrôleur ; implémenter les mécanismes de contrôles liés aux lois Sarbannes-Oxley (structurer l’approche, assurer la cohérence de la documentation…) de manière globale et centralisée dans toute l’entreprise ; implémenter les mécanismes de contrôles internes de manière globale et centralisée dans toute l’entreprise ; cartographier ses risques.

Utiliser des outils bien maîtrisés

L’utilisation d’outils logiciels de ce type n’est pas aussi récente qu’il peut y paraître. Des analyses automatisées de données sont faites depuis les années 80. Mais la généralisation de deux phénomènes importants dans l’entreprise constitue un catalyseur fort de développement : • La dématérialisation qui montre les limites du bon vieil audit papier ; • La généralisation des systèmes intégrés qui « appauvrissent » les contrôles internes aux interfaces. Ce type de contrôle était réalisé auparavant lors du passage d’un système à un autre (gestion vers comptabilité…). Ces contrôles sont maintenant intégrés dans le SI qui devient la matière première de l’audit. En termes d’opportunité, l’utilisation d’outils bien maîtrisés permet de réaliser un « full audit » (sans approche par le contrôle interne) tout en ayant un budget « acceptable » et donne plus de forces aux conclusions de l’auditeur. Même pour l’audit informatique, l’analyse de données, par exemple l’analyse des activités d’un Help-Desk à travers son outil, permet d’avoir des informations sur les activités de maintenance de la DSI. Les retours d’expérience de la mise en place d’outils Caat et quelques clés de succès témoignent de plusieurs autres points forts. Ainsi on peut noter un accroissement de la visibilité d’un groupe vis à vis de ses filiales, en ayant comme pré-requis un rattachement à un haut niveau hiérarchique de la cellule d’audit. Un Caat permet aussi d’alimenter le plan d’audit annuel, de mixer des équipes d’audit informatique avec les équipes d’audit général, de systématiser les audits d’une année sur l’autre, ou enfin de dématérialiser le dossier de travail de l’auditeur.