Le modèle classique de l’audit interne, composé d’une équipe d’auditeurs à même d’instruire tous les sujets (ou presque !) en se projetant dans le monde entier, touche ses limites du fait de la diversité des natures de risque, de leur complexité croissante, des défis d’attractivité et de rétention des talents auxquels sont confrontés les directions d’audit interne, des contraintes financières, mais aussi des enjeux RSE liés aux déplacements des équipes d’audit.
Par ailleurs, la digitalisation croissante des fonctions de l’entreprise fait que ces dernières produisent de plus en plus de data qui deviennent la principale matière première de l’audit interne et que cette dernière doit être compréhensible puis aisée dans son traitement.
Il en va aussi de l’image et de la crédibilité de l’audit interne que de démontrer que cette pratique est en capacité de s’adapter, dans ses outils, son organisation et ses méthodes de travail, au nouvel environnement digital auquel elle est confrontée.
Pour ces raisons notamment, la digitalisation de la fonction audit interne apporte une réponse assez globale aux problématiques évoquées.
Elle recouvre en fait une grande diversité d’outils et de techniques numériques, offrant une palette de solutions adaptées à toutes les situations. Parmi les principaux outils ou techniques figure la mise en place d’un outil de GRC ou d’audit management, le déploiement de techniques de data analytics, de process mining, d’intelligence artificielle (machine learning, IA générative…), ou de la RPA (Robotic Process Automation), chacune de ces solutions pouvant en outre se conjuguer entre elles.
Ces techniques et ces outils vont permettre de monitorer des indicateurs de risques en amont des audits, d’automatiser des programmes de travail, d’assister les auditeurs dans leurs tâches, d’assurer le suivi des recommandations, de traquer la fraude et la corruption, d’identifier des comportements déviants par rapports aux standards mis en place… A chaque étape clé d’une mission d’audit, ces outils pris seuls ou en association apportent des solutions aux directions d’audits pour être assisté dans la définition des plans d’audits, élargir le périmètre des tests et les rendre exhaustifs, d’être plus pertinents dans les travaux d’investigation sur site, d’auditer des périmètres plus large, et finalement d’assurer une présence de l’audit interne plus permanente dans les entités opérationnelles, tout en limitant les déplacements et les temps d’intervention. De nombreux prétextes sont souvent mis en avant par les entreprises pour ne pas y aller : la diversité et l’hétérogénéité des systèmes d’information source des données, le manque de compétence, la difficulté à mobiliser des ressources financières ou tout simplement l’absence de temps à allouer à un tel projet.
La diversité des outils et des techniques disponibles balayent ces fausses bonnes raisons. Les SI sont trop hétérogènes, qu’à cela ne tienne, focalisons-nous sur le principal ERP, ou sur les entités à risque. Le manque de compétence dans le département d’audit interne peut être contourné par la mobilisation de ressources internes dans d’autres services ou par de l’externalisation. Si les moyens financiers manquent, les suites des grands éditeurs bureautiques et les outils open source offrent déjà une grande palette de solutions de digitalisation. Par ailleurs certains outils de process mining par exemple existent parfois dans les directions « métier » ou amélioration de la performance…
Les questions pour les directions d’audit interne ne sont plus de savoir si elles doivent y aller, mais comment elles doivent y aller, compte tenu des particularités de leur groupe et des différentes contraintes auxquelles elles sont confrontées, quelle finalité recherchent-elles et en fonction, quelles techniques privilégier pour obtenir la valeur ajoutée maximale pour les audits et les équipes d’audit.
Dans cette réflexion, le point qui nous semble essentiel et qui doit accompagner impérativement celle sur les choix techniques est celui de l’organisation. Ce serait une erreur de greffer sur l’organisation existante ces nouveaux outils. Pour en tirer toute la quintessence, l’organisation actuelle mérite d’être challengée afin de définir la cible organisationnelle et fonctionnelle en fonction des possibilités offertes par ces outils : refonte de l’approche d’audit, adaptation du planning des phases d’audit avec des durées différentes, audit en continu, refonte des modalités de suivi des recommandations, plans d’audit plus flexibles, répartition différente des tâches entre les auditeurs, changement de composition des équipes d’audit avec l’inclusion de compétences digitales… La combinaison de ces nouveaux outils et leur prise en compte dans l’organisation de l’audit interne permettra de toucher les fruits de la digitalisation.
