Les robots font désormais partie du paysage de la gestion courante des entreprises. Ils sont déployés au sein de nombreux domaines tels que la finance (comptabilité client, fournisseur et générale, trésorerie, contrôle de gestion), mais aussi la gestion des Master Data client et fournisseur, les Ressources Humaines (la paie, la gestion des demandes des collaborateurs, la gestion des mouvements), mais aussi les achats, la supply chain, l’IT, ainsi que le contrôle interne via l’automatisation des contrôles.
Il parait toutefois nécessaire de préciser ce que l’on entend par robot car il en existe de plusieurs familles selon leur degré d’autonomie.
On parle de Robotic Desk Automation (RDA) pour des programmes simples lancés par l’humain principalement sur son poste de travail, de Robotic Process Automation (RPA) pour lequel l’automate se lance automatiquement pour réaliser les tâches de manière autonome, mais aussi pour des programmes plus avancés, de Intelligent Process Automation (IPA) qui associe RPA, data analytics et IA, via notamment du machine learning, pour lequel l’automate est entraîné à prendre des décisions sur la base du résultat souhaité.
Nous nous focaliserons dans cet article sur ce qui est à ce jour le plus développé en entreprise à savoir la RPA et l’IPA.
Quand on parle de maîtrise des risques, d’audit ou de contrôle interne des robots, il faut bien comprendre ce qu’est un robot et surtout ce à quoi il ne doit pas être réduit, à savoir une application informatique sur laquelle calquer les solutions de maîtrise des risques IT.
Les solutions de RPA ou d’IPA cherchent à automatiser un ensemble de tâches manuelles effectuées par une ou plusieurs personnes. Ces solutions doivent conduire à améliorer la performance du processus : plus de tâches traitées, traitées d’ailleurs plus rapidement, temps homme libéré pour des tâches à plus forte valeur ajoutée, tâches plus sécurisées, amélioration de la qualité de service…
Aussi, la mise en place d’un programme de RPA est avant tout un projet métier qui regroupe de nombreuses dimensions à fort impact sur les risques :
Ainsi, le champ des risques à identifier et à maîtriser est vaste.
Dans le cadre des ateliers de l’IFACI, Grant Thornton a animé un groupe de travail de professionnels visant à produire un référentiel de contrôle et d’audit des robots qui réponde aux enjeux présentés ci-dessus.
Ce référentiel se structure autour de 8 processus, 62 thèmes de contrôle et 106 points de contrôle. Il est accessible sur le site de l’IFACI.
Les 8 processus permettent de couvrir toutes les dimensions d’un projet RPA : l’organisation, le pilotage, l’exploitation, la performance, la sécurité, la maintenance.
Les 10 éléments clés de maîtrise des risques d’un projet de RPA portent sur les points suivants :
La maîtrise des risques autour d’un robot de type RPA ou IPA est une approche complexe qui nécessite de prendre en compte des éléments qui se situent très en amont, comme la dimension de gestion du projet initial, de sa gouvernance, de sa documentation, des aspects très techniques liés au code source et à la séparation des tâches lors du paramétrage et du codage des programmes sensibles, des aspects de performance, mais aussi des aspects RH ou humains, enfin, liés à l’interface qui subsiste avec des collaborateurs à qui le robot va attribuer des tâches aboutissant potentiellement à des situations qu’ils ne sont pas en mesure de traiter.
La RPA ne doit pas se réduire à une simple dimension applicative mais être pris pour ce qu’il est : un projet de transformation de l’organisation avec toutes les dimensions que cela intègre.
