Automatisation du contrôle et de l'audit interne sur SAP

Contenu de la conférence

Comment disposer d'un socle de contrôles en quelques jours?

Comment déployer les contrôles dans l'organisation?

Répondre aux exigences de SAPIN 2.

 

Conférencier

Franck-Yves Inglebert

Président chez Eye2scan Solutions

 

Vous pouvez prendre rendez-vous avec le conférencier.

EYE2SCAN.png

Audit et contrôle, une activité en pleine évolution !

 

De quoi s’agit-il exactement ?

Rappelons brièvement la fonction de ces deux activités :

  • L’Audit Interne est une activité indépendante et objective offrant à une organisation une assurance sur son degré de maîtrise de ses opérations, tout en lui donnant des conseils pour les améliorer. Elle doit également permettre de créer de la valeur ajoutée.

  • Le Contrôle Interne est un dispositif mis en œuvre par la société devant permettre d’identifier et de résoudre les principaux risques. Cette activité est placée sous la responsabilité de la société, et doit lui permettre d’atteindre ses objectifs.

Ces métiers connaissent actuellement une véritable transformation sous le double effet de l’évolution de l’environnement réglementaire et des progrès rapides du traitement des données.

Les entreprises et organisations allant aujourd’hui de toute évidence vers une « obligation numérique », elles doivent donc absolument prendre en compte ces deux tendances.

 

D’une évolution et obligation réglementaire…

Les réglementations légales entourant les métier de l’audit et du contrôle changent vite et sont de plus en plus axées sur l’automatisation.

Pour respecter ces nouvelles mesures légales, les entreprises et organisations doivent répondre en temps et en heure à des critères bien précis :

Entre autres :

  • L’obligation de remettre le Fichier des Ecritures Comptable (FEC) aux autorités fiscales en même temps que les liasses fiscales, sous un format numérique imposé.

  • Le respect du Règlement Général de la Protection de Données (RGPD, acté au niveau européen en mai 2018) pour mettre sous contrôle l’accès aux données personnelles.

  • Le respect de la loi Sapin 2,

La Loi Sapin 2 s’adresse aux sociétés et EPIC de plus de 500 salariés et au chiffre d’affaire supérieur à 1 million d’euros. Retenons que des sanctions pécuniaires d’un maximum d’1 million d’euros peuvent s’appliquer pour le seul manquement d’obligation de mise en œuvre du dispositif légal de contrôle interne.

Les principaux piliers de cette loi Sapin 2 sont :

  • La cartographie des risques (mise à jour régulièrement).

  • Le respect d’un code de conduite devant être intégré au règlement interne de l’entreprise.

  • Des procédures d’évaluation des tiers (clients / fournisseurs).

  • Un dispositif d’alerte interne (whistleblowing).

  • Des procédures comptables internes (respect des règles fixées par l’organisation).

  • Des actions de formation et sensibilisation des salariés à l’éthique et au risque de fraude.

  • Un régime disciplinaire (que l’entreprise doit développer).

  • Un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre.

Pour répondre à ce dernier pilier, il s’agit d’évaluer avec une approche systématique et méthodique les différents processus de management (risques, contrôle, gouvernance) afin de les améliorer. Il faut être en mesure de vérifier la conformité aux lois et règlement, ainsi que le bon fonctionnement des processus internes.

Avec quels outils et moyens y parvenir ?

 

…A une évolution technologique.

Dans un monde tourné vers l’automatisation et la numérisation, le contrôle et l’audit n’échappent pas à la règle.

Evolution réglementaire et évolution technologique « s’alimentent » mutuellement.

En effet,

les critères définis par l’environnement réglementaire obligent les organisations à investir dans des outils technologiques efficaces afin d’être capables d’y répondre dans le temps demandé.

Pour les activités d’audit et de contrôle interne, ces outils sont par exemple :

  • Des outils d’extraction de données (de type ACL ou IDEA, pour les auditeurs).

  • Les modules de contrôle des ERP lorsqu’ils existent, que ce soit pour de la SOD (Segregation Of Duty) ou du contrôle de processus (comme SAP Acces / Process Control)

  • Des outils de Business Intelligence ou de Dashboarding.

Les organisations doivent donc utiliser de nouveaux moyens afin de remplir l’obligation de traiter une volumétrie croissante de données et ce en temps réel, ou au plus proche de la survenance des faits.

Elles doivent financer le développement de leurs propres outils, ce qui nécessite la formation - et le maintien ! - de compétences en interne. Elles peuvent aussi avoir recours à des consultants externes prenant en charge la conception et le développement des tests.

Quelle que soit la stratégie adoptée, ces développements se font en général en mode projet impliquant la DSI et les équipes métiers, et démarrent par la définition des risques et des processus à mettre sous contrôle.

On l’a bien compris, il s’agit d’un projet coûteux, consommateur de ressources, et long à mettre en place, pas toujours évident dans un contexte de contrainte budgétaire.

 

Que faut-il retenir de ces obligations réglementaires ?

Toute entreprise ou organisation se doit de respecter les nouvelles mesures réglementaires sous peine de sanctions financières. La loi Sapin 2 donne le ton en instaurant des piliers à respecter allant de la cartographie des risques à la mise en œuvre d’un dispositif d’évaluation et de contrôle interne.

Ces nouvelles réglementations obligent les principaux concernés à se doter d’un arsenal d’outils numériques efficaces et efficients afin de pouvoir répondre à ces critères tout en gardant à l’esprit le rapport coût/bénéfice (le bénéfice étant ici le risque couvert)

Faute de moyens ou de capacités, de nombreuses entreprises ne peuvent s’offrir l’automatisation de la surveillance des systèmes pour prévenir les risques, ni augmenter le nombre d’auditeurs internes ou de contrôleurs internes.

Elles ont donc souvent recours aux contrôles manuels (et ponctuels) via des tableurs, ou à des remontées d’informations purement déclaratives, avec les limites en terme couverture de risques que cela suppose.

Franck-Yves Inglebert