Aller au contenu principal

RPA et Gestion des risques (3/3) : Vers un contrôle interne augmenté

Lorsqu’elle se prémunit des menaces décrites dans le second volet de notre série d’articles consacrés à l’étude des impacts de la RPA sur la gestion des risques, la robotisation peut constituer un formidable nouvel outil au service de la Direction Financière.

A l’heure actuelle, la RPA a principalement fait ses preuves dans l’optimisation de processus transactionnels simples et clairement définis en amont. Déclinée à la gestion des risques, elle représentera à terme un puits de productivité nouveau pour le contrôleur interne, en l’assistant dans les tâches les plus répétitives et en lui permettant de se positionner sur des missions à plus forte valeur ajoutée. En libérant le contrôle interne de contraintes participant parfois à sa perception négative et en l’associant d’avantage à la stratégie opérationnelle de l’entreprise tout en garantissant une maîtrise des coûts, l’automatisation pourra alors contribuer à sa refonte en profondeur et impactera durablement l’organisation de la Direction Financière.

Dessiner le contrôleur interne de demain

Avec des coûts de plus en plus abordables associés à une technologie qui progresse à vive allure, le rêve lointain de pouvoir confier à un automate les tâches à plus faible valeur ajoutée pour les humains se concrétise de jour en jour. Historiquement, la validation de l’efficacité du contrôle interne passe par une série de tests répétitifs et parfois laborieux. La perspective de confier certains tests à un robot, par exemple le respect des règles de séparation des tâches dans un système, et d’ainsi libérer du temps au collaborateur semble séduisante. Le robot pourra réaliser ces tests de manière exhaustive puis conclure en mettant en exergue les exceptions qui n’auront qu’à être revues par le contrôle interne. Le robot permet ainsi de contourner les contraintes de charge opérationnelle qui entravent bien souvent la réalisation des tests de manière rigoureuse et systématique. La RPA prendra ainsi pleinement en charge les actions de détection et permettra au contrôleur d’investiguer seulement les cas potentiellement révélateurs d’erreurs, de fraudes ou de non-conformités. Lors d’un test de procédure sur un processus de trésorerie par exemple, le contrôleur interne ne se contentera plus de constater les dysfonctionnements mais pourra mener une analyse en profondeur accompagnée de recommandations détaillées.

Dans un contexte mouvant (nouveaux risques générés par la digitalisation, multiplication des partenaires et des parties prenantes), le contrôle interne ne se contentera pas de se moderniser ou de gagner en efficacité : il pourra s’appuyer sur la RPA pour s’adapter pleinement à ce nouveau paradigme. Les gains de productivité favorisés par la RPA permettront de traiter un scope plus large, d’améliorer la qualité des contrôles tout en offrant davantage de possibilités de restitutions. Libérée de contraintes chronophages et supportée par la robotisation, la fonction gagnera en efficience. Ainsi, le contrôleur interne aura davantage de marge de manœuvre pour s’imposer comme un vecteur de changement et un acteur de la transformation opérationnelle de l’entreprise. Au quotidien, il pourra dédier son temps à des tâches à plus forte valeur ajoutée : conception et mise en œuvre de contrôles à la fois plus ciblés et plus approfondis, prise de recul sur les résultats des tests réalisés, analyses plus fines et abouties, définition de plans d’action, anticipation, modernisation de l’approche de gestion des risques en ligne avec la stratégie de l’entreprise… Sur le moyen terme, au gré du déploiement de la RPA, son repositionnement naturel vers un rôle de strategic advisor impliquera également de refondre la planification du contrôle interne. L’organisation de l’activité devra intégrer la nouvelle proposition de valeur de la fonction qui se caractérise comme suit:

  • Toucher plus de clients en élargissant son champ d’action au-delà de la fonction finance (DSI, Data Protection Officer, etc.).
  • Offrir un meilleur service sur le périmètre historique des processus financiers grâce à des plans d'audit plus ambitieux en termes de vitesse d’exécution, de périmètre et de profondeur d'analyse.
  • Créer un contrôle interne plus pro-actif et plus réactif.

Enfin, le contrôle interne, plus proche des métiers, modernisé et désiloté, pourra accompagner l’ensemble des parties prenantes vers les bonnes pratiques de conformité et de transparence. En même temps, l’audience et la portée des messages véhiculés par la démarche de maîtrise des risques seront accrues.

Contribuer à la gouvernance de la robotisation de l’Entreprise, de la Direction Financière et du Contrôle interne

L’intégration en profondeur de la RPA au sein de l’Entreprise pose inévitablement la question de la gouvernance. Le rôle du contrôle interne dépendra du niveau de maturité de la Direction Financière et plus largement de l’Entreprise dans sa démarche de robotisation.

A ce stade, en l’absence de démarche existante dans l’Entreprise il est observé que le contrôle interne ne joue pas encore le rôle de déclencheur. En revanche, dans un contexte de déploiement de programme RPA, le Contrôle interne sera principalement impliqué dans la définition des règles de gestion des risques à mettre en œuvre (sécurité des données, supervision des robots, gestions des ID et habilitation). Par exemple, il conviendra de veiller à maintenir l’auditabilité des processus comptables ainsi que le respect des contraintes de ségrégation des tâches dans un contexte SOX ou du Règlement Général de Protection des Données. Le déploiement de la RPA se fera également en conformité avec les principes de gestion des risques de l’Entreprise et en collaboration avec la Direction des systèmes d’information. Le Contrôle interne devient ainsi un acteur à part entière de la gestion des risques portés par les projets de robotisation et plus particulièrement lorsqu’ils impactent le périmètre de la Direction Financière.

Bien souvent, le modèle opérationnel de la RPA s’articule autour du déploiement d’un centre d’excellence. En fonction des choix en matière d’organisation, le rôle du Contrôle interne est variable :

  • Dans un modèle centralisé : le contrôle interne se doit de peser dans la gouvernance par ses recommandations, son apport en termes d’expertise de gestion des risques et par sa contribution à l’analyse métier.
  • Dans un modèle décentralisée : le contrôle interne se positionnera comme un évangélisateur compte tenu de son éloignement du centre de gouvernance de la RPA situé au sein des entités métiers.
  • Dans un modèle de gouvernance partagée entre les métiers et le Corporate, le contrôle interne revêtira un rôle de garant transverse, gardien de la cohérence entre les entités.

S’il n’est pas encore le catalyseur de la robotisation dans l’Entreprise, le Contrôle interne a néanmoins un rôle majeur à jouer dans la définition, l’implémentation et l’animation de la gouvernance du RPA.

Conduire le changement à travers les trois lignes de défense pour assurer le succès de la stratégie RPA appliquée au Contrôle interne

Vecteur de la transformation profonde des modèles de gouvernance, d’organisation, des méthodes de travail et du repositionnement de la fonction contrôle interne, le changement induit par l’application de la RPA aux processus de contrôle et d’audit interne doit être maîtrisé. La gestion du changement devra être anticipée dès les phases amont des programmes de déploiement de RPA. La proactivité de la conduite du changement apparaît comme un incontournable pour faire adhérer les équipes impactées et réaliser les gains attendus.

A l’instar de l’évolution du profil de risque de l’Entreprise dans un contexte de digitalisation massive, les équipes constitutives des trois lignes de défenses devront s’adapter à un nouveau rôle ou à un rôle transformé. Les opérationnels en charge de la réalisation des contrôles devront maîtriser des procédures automatisées afin de sécuriser les risques et de contribuer plus efficacement aux actions de contrôles. Les contrôleurs internes seront également impactés dans leur rôle de supervision de la réalisation des contrôles automatisés, d’analyse d’importants volumes de données, de garant de la conformité aux politiques et aux procédures de contrôles robotisées. Ils devront également maîtriser les nouveaux outils mis à leur disposition. Enfin, les auditeurs internes devront s’adapter à la refonte des plans d’audit interne, à l’adaptation des méthodologies de test, d’évaluation et de remédiation induits par les apports du RPA.

Ainsi, il conviendra de déployer les plans de formation idoines, orientés RPA en priorité mais également data analytics, data science et architecture SI. Il est également primordial d’adapter la politique de recrutement. L’évolution de la fonction contrôle interne impliquera l’hybridation de ses compétences afin de capitaliser durablement sur les bénéfices de l’automatisation. A titre d’exemple les équipes pourront être renforcées avec des profils intégrant à la fois une dimension informatique, système et gestion de projet ainsi qu’une capacité à assurer un rôle de conseil interne stratégique. Le recrutement de nouveaux profils devra contribuer à la concrétisation de la stratégie RPA appliquée au Contrôle interne.

Enfin, l’adaptation de la gestion prévisionnelle des emplois et compétences s’accompagnera d’un effort de communication au sein de l’Entreprise. Ce dernier aura pour objectifs d’accroître la visibilité des programmes de déploiement de RPA, la conscience collective des enjeux associés et de véhiculer un message positif autour de cette transformation.

Pour conclure

Fortes d’une offre de services renouvelée grâce aux apports innovants des solutions de RPA, les directions financières sont désormais en mesure de proposer des capacités de contrôle renforcées et plus efficaces pour un coût compétitif. Le Contrôleur interne a désormais un rôle décisif à jouer dans la pérennité et la légitimité de la gouvernance du modèle opérationnel RPA à travers son implication dans la mise en œuvre et l’animation des centres d’excellence. En accompagnant l’évolution des compétences au sein des trois lignes de défense, l’Entreprise et la Direction Financière poseront la première pierre d’un édifice plus imposant. Couplée notamment au déploiement d’approches de contrôle et d’audit interne en continu, la RPA permet à la Direction Financière d’envisager la mise en place d’un véritable Contrôle interne augmenté.

Copyright © 2018 Sia Partners. Any use of this material without specific permission of Sia Partners is strictly prohibited.