L’audit est encore une activité manuelle, il est aujourd’hui nécessaire de l’automatiser. La plus part des grandes entreprises, des banques, assurances et cabinets d'audit utilisent avant tout Excel pour traiter les questionnaires d'audit et les référentiels de gouvernances de l'entreprise Ce type de solution individuelle est utile pour les responsables des risques, l'audit, le RSSI, le responsable qualité,, mais nettement insuffisante pour garantir la cohérence du dispositif de contrôle interne et de la gouvernance de l'entreprise.
L'auditeur doit intégrer dans ses analyses des informations issues du système d'information de l’entreprise. Les systèmes décisionnels, les outils de contrôle de gestion, de gestion documentaire, ou la gestion des processus sont des outils qui servent à documenter le dispositif de contrôle. Mais une bonne documentation ne suffit pour justifier le niveau de la conformité du dispositif de contrôle, il faut aller plus loin, et mettre en oeuvre une véritable démarche de gouvernance et de pilotage des risques et des activités dans le cadre d'une démarche d'amélioration continue. Des solutions dites de GRC - Covernance Risks Compliance - peuvent également contribuer à renforcer le dispositif de contrôle de l’entreprise. Des moteurs de WorkFlow sont parfois utilisés pour gérer des alertes de relance sur des contrôles manuels.
Nous constatons donc que les opérationnels ne manquent pas d'outils, et ce n'est pas à l'auditeur d'imposer les siens, cependant si l'auditeur gère convenablement le cycle de vie de sa mission, depuis la formalisation des objectifs de contrôles, jusqu'à la phase de vérification, il accompagnera naturellement les équipes dans la mise en oeuvre d'un dispositif de contrôle interne efficace et cohérent.
Notre approche nous permet de nous appuyer sur les outils et les contrôles automatiques existants dans l’entreprise pour justifier les moyens mis en œuvre pour atteindre les objectifs. Nous avons tout simplement conçu un moteur qui permet d'assurer la cohérence de l'ensemble des dispositifs de contrôle existants, de les auditer, et de mesurer le niveau de conformité du dispositif par rapport aux objectifs de la direction, aux obligations réglementaires et aux bonnes pratiques de gouvernance des différentes activités de l''entreprise.
Nous constatons bien souvent que des outils sont mis en œuvre, tout simplement parce qu'il faut s'informatiser. Dans ce type de démarche, l'outil s'impose, et l'entreprise doit s'adapter. C''est une approche de technicien et non de manager. Ce qui importe avant tout c'est de construire la démarche de gouvernance adaptée aux attentes des dirigeants et conforme aux préconisations normatives et obligations réglementaires. Pour y arriver, il faut en effet s'informatiser, élaborer des indicateurs, et disposer de plateformes collaboratives adaptées pour manager le dispositif de gouvernance.
L’auditeur a besoin de travailler directement avec les services audités, sans passer son temps en réunions.
Nous avons conçu une plateforme de travail collaboratif qui nous permet de réduire les déplacements et les temps d’interviews.
Aujourd'hui, plusieurs cabinets d'audit & conseils ont été formés à notre démarche et utilisent nos outils. Notre solution et notre démarche sontt par ailleurs utilisées par des experts dans l'accompagnement aux démarches de certification (ISO 9001, 27000, EN 9100 ...).
Une véritable communauté d'expert multicompétences s'est ainsi constituée autour d'un concept permettant de fédérer les différents systèmes de management existants autour d'une démarche commune d'amélioration continue, depuis la phase de planification (plan), jusqu'à la vérification (check)*.
Nous constatons souvent les lacunes suivantes :
Absence de cadre de référence :
Tout comme les normes ISO 9001 ou 27001 définissent respectivement les principes généraux du d’un système de management de la qualité (9001) ou des risques SSI (27001), le cadre de référence du contrôle interne définit les principes généraux de mise en œuvre du dispositif de contrôle.
Absence d’approche des risques SSI :
Le risque informatique doit être considéré comme l’un des risques majeurs pour toute entreprise. Le contrôle interne doit être en mesure de justifier le niveau de sécurité du système d’information.
Multiplicité et cloisonnement des outils :
Le responsable du contrôle interne est chargé de veiller à la cohérence du contrôle interne, ceci lui est souvent rendu difficile par le cloisonnement des démarches des outils de gestion des risques des salariés, de leurs métiers, de leurs systèmes, de leur qualité, et leur sécurité.
* Au sujet du "Check", rappelons que "Contrôle Interne" est traduit de l'anglais Internal Control, où "control" signifie, conduire, piloter, maîtriser ('to drive), et non vérifier traduit par "check". Le Check est nécessaire et indispensable à la démarche d'audit et de contrôle interne, mais il n'est qu'une des phases d’un projet d'amélioration continue, qui doit faire l'objet d'un pilotage et de suivi sur la durée.