Face à ce constat, PwC France a interrogé une vingtaine de directions de contrôle interne pour comprendre les dynamiques de digitalisation mises en place.
Même si plus des trois quart des sociétés rencontrées sont actives, et mènent ou ont mené très récemment des initiatives allant vers cette digitalisation, l’enquête sur la digitalisation du contrôle interne met en évidence les freins rencontrés et les bonnes pratiques pour les surmonter et propose des pistes afin de développer une stratégie à plus long terme.
La digitalisation n'est plus une option
Multiplication des données, complexification des systèmes et des transactions, digitalisation accélérée des fonctions contrôlées, crise du COVID-19, besoin de transversalité : autant de raisons de développer de digitaliser le domaine du contrôle interne. La pression réglementaire, en particulier la loi Sapin 2 et les contrôles comptables, a poussé la plupart des entreprises à mener des initiatives.
Au-delà des aspects réglementaires, nous constatons une évolution progressive vers une digitalisation plus globale, via le recours à la RPA (Robotic Process Automation), à la Data visualisation, au Data mining, et de manière plus large aux outils de GRC (Gouvernance Risk & Compliance). Les cas d’usage sont nombreux et accessibles, mais peu d’entreprises bâtissent une stratégie de digitalisation du contrôle interne à moyen terme. L’approche reste “tactique” et se réalise autour de la donnée ou d’outils GRC sur un périmètre limité, voire de “Proof of concept”.
Budgets limités, difficulté à démontrer le ROI, manque de compétences, accès aux données… Malgré ces freins, des solutions existent. Elles sont la base pour poser une stratégie efficace. La première solution est de se concentrer sur des projets simples et visibles pour gagner l’adhésion des opérationnels.
Quels bénéfices tirer de cette digitalisation ?
La digitalisation du contrôle interne génère des bénéfices très larges, qui profiteront à l’ensemble des lignes de maîtrise.
Pour la première ligne, elle y trouvera de l'efficacité.
La deuxième ligne gagnera en visibilité.
La troisième ligne pourra élargir sa couverture.
Partager la stratégie avec l'ensemble des acteurs de la maîtrise des risques est un impératif.
Quelle stratégie mettre en place pour accélérer votre transformation ?
Il est nécessaire de passer d’une démarche subie, souvent lancée pour répondre à un stimuli réglementaire, à une fraude ou à une pression interne liée à un changement de culture du groupe, vers une démarche proactive.
En s’appuyant sur les autres fonctions, ayant acquis une plus grande maturité digitale, et sur les succès déjà engrangés, co-construisez une stratégie à moyen terme.
Téléchargez les 6 règles d’or pour poser une stratégie pragmatique
Avancez progressivement sur des cas d’usage
- Communiquer les exigences et/ou référentiels de gestion des risques
- Faire un état des lieux ponctuel ou mener une auto-évaluation
- Conduire une démarche d’auto-évaluation dynamique et suivre les plans d’actions
- Supporter la réalisation de contrôles via des analyses de données
- Mener des analyses approfondies de processus pour améliorer le contrôle interne
- Automatiser des contrôles via des robots ou des workflows
- Mettre en place du monitoring en continu de contrôles (Continuous Control Monitoring)
- Organiser une démarche intégrée de pilotage des contrôles
Communiquer les exigences et/ou référentiels de gestion des risques
Les dispositifs digitaux doivent être mis à profit pour communiquer au sein de l’organisation sur les exigences de contrôle interne (Intranet, Chatbot,...).
Les plateformes collaboratives disponibles dans les entreprises sont de plus en plus agiles (Google Site, Teams, Sharepoint…), la mise à jour des documents est simple.
La création de elearnings est également facilitée par les outils du marché.
Découvrez notre solution de création et distribution de Elearnings
Faire un état des lieux ponctuel ou mener une auto-évaluation
Les entreprises ont parfois besoin de réaliser de manière ciblée une auto-évaluation, pour mesurer par exemple l’appropriation par les opérationnels de nouvelles politiques ou procédures.
Des outils basiques de questionnaires, couplés à des outils de data visualisation, sont largement suffisants pour gérer le processus de collecte de réponses et les restituer de manière dynamique.
Conduire une démarche d’auto-évaluation dynamique et suivre les plans d’actions
La plupart des entreprises mettent en place des campagnes d’auto-évaluations, appuyées par des outils collaboratifs permettant un suivi dynamique de la campagne, des analyses multidimensionnelles et un pilotage des plans d’actions dans la durée.
Les outils “GRC” ne manquent pas sur le marché, avec des solutions plus ou moins larges et agiles. Le coût d’accès dépendra de la complexité des processus mis en place et de la nature des accès demandés.
Supporter la réalisation de contrôles via des analyses de données
L’accès de plus en plus facilité à la donnée permet d’utiliser des outils de collecte et de visualisation de données pour appuyer les contrôles à réaliser par les opérationnels (par exemple dashboards de visualisation d’exceptions).
Les technologies de data visualisation et data analytics sont de plus en plus abordables et permettent de “distribuer” facilement des analyses. Le retraitement des données sources est facilité par des outils dédiés.
Mener des analyses approfondies de processus pour améliorer le contrôle interne
Réaliser un diagnostic approfondi de contrôle interne nécessite de recourir à des outils plus ciblés et spécialisés, par exemple des outils d’analyse de la séparation des tâches, des outils d’analyse de la configuration des ERP ou des outils de “Process mining”.
Automatiser des contrôles via des robots ou des workflows
Les gains d’efficacité pour les opérationnels passeront également par l'automatisation des contrôles, par exemple les réconciliations, des contrôles de seuils ou de limites, ou en mettant en place des workflows de revue/validation.
Plusieurs technologies peuvent être mobilisées, comme la robotisation pour “systématiser” la réalisation ou l’envoi de tâches, l’association d’analyses de données avec des systèmes de workflow.
Mettre en place du monitoring en continu de contrôles (Continuous Control Monitoring)
Avec l’arrivée des obligations Sapin 2, il est désormais nécessaire de développer des dashboards de pilotage en continu de la réalisation de contrôles, intégrant la piste d’audit des actions de revue réalisées.
Les outils de data analytics, avec de nouveaux récemment apparus sur le marché en réponse à la loi Sapin 2, permettent de coupler les analyses avec des workflows de revue et de pilotage. Ils peuvent parfois présenter des limites.
Organiser une démarche intégrée de pilotage des contrôles
L’objectif ultime serait d'intégrer complètement les fonctionnalités de contrôle interne allant du référentiel au monitoring en continu des contrôles, pour être en mesure de réaliser un suivi intégré de l’efficacité du contrôle interne.
Les outils GRC évoluent vers une intégration entre les référentiels de contrôle et la connexion aux systèmes d’information pour alerter en temps réel les acteurs du contrôle interne.
Qu'en est-il des outils de GRC (Governance, Risk & Compliance) ?
Les solutions ne manquent pas sur le marché avec des maturités et couvertures variées : des acteurs historiquement positionnés sur la GRC (Gouvernance, Risk & Compliance) via Sarbanes Oxley continuent à étendre leur offre. Des éditeurs de solutions non spécialisés sur le contrôle interne augmentent leur couverture fonctionnelle et de nouveaux acteurs agiles essaient de se positionner sans avoir un spectre suffisant ou la capacité à servir des groupes internationaux.
Ainsi, les benchmarks sont difficilement exploitables, avec parfois des mesures auto-évaluatives et les grilles d’analyse sont difficiles à comparer entre les benchmarks. Cependant, l’outil GRC reste souvent la principale vitrine des activités du contrôle interne et le choix ne doit pas se faire que sur le coût.
5 axes essentiels : comment prendre une décision ?
- Penser expérience utilisateur
- Être autonome pour étendre les cas d’usage
- S’affranchir des barrières traditionnelles et déployer les cas d’usage de manière agile
- Connecter la donnée pour plus d’efficacité et de pertinence
- “Think big, start small et scale fast”
Penser expérience utilisateur
Se placer du point de vue du “contributeur” en priorité (rattacher de nouvelles recommandations à des plans d’actions existants, un module “questionnaire” agile, personnalisation de l'affichage...).
Mesurer les évolutions UI/UX par rapport aux pratiques d’autres applications (multilingue, paramétrage de l’affichage…).
S’assurer que l’outil soit intuitif pour tout utilisateur final (navigation...).
Être autonome pour étendre les cas d’usage
Comprendre les compétences nécessaires au paramétrage et leur accessibilité, notamment en termes de formations (elearnings accessibles aux non informaticiens, interfaces de paramétrages...).
Favoriser les technologies les plus répandues, notamment pour faciliter la récupération des données.
S’affranchir des barrières traditionnelles et déployer les cas d’usage de manière agile
Prioriser l’usage en Cloud pour aller plus rapidement sur de nouveaux cas d’usages.
Appréhender dès le départ les interdépendances entre les modules et leurs paramétrages.
Mapper de manière agile les risques de différents univers (cas d’usages) entre eux.
Connecter la donnée pour plus d’efficacité et de pertinence
Privilégier les solutions qui intègrent le mieux la connexion aux données, notamment via les data lake existant.
Développer des cas d’usage orientés data et mesurer le ROI dès le départ.
“Think big, start small et scale fast”
Collecter les cas d’usage “candidats”, y compris ceux des autres fonctions contribuant en seconde ligne, et évaluer l’accessibilité à moyen/long terme.
Appréhender les modèles de pricing pour favoriser l’extension progressive.
Avoir une vision claire de la stratégie de l’éditeur.
Pour aller plus loin
Suivez-nous !
Contactez-nous
