Cantonnés aux contrôles à posteriori, les auditeurs ont, grâce à des technologies comme SAP HANA et SAP S/4HANA, l'opportunité de se synchroniser avec l'activité de leur entreprise. Et ainsi, de se repositionner au sein de leur organisation.

Aujourd'hui, les auditeurs sont en quelque sorte les assureurs internes des organisations : ils apportent une certaine sécurité, mais sans parvenir toutefois à se fondre dans le rythme des opérations. Car, l'activité des auditeurs consiste à intervenir à posteriori, en analysant par exemple les transactions des 6 mois précédents. Au sein des métiers, ils sont souvent vus comme des gens demandant des justifications dans le mauvais timing ou, pour le dire plus prosaïquement, comme des inspecteurs des travaux finis.

Cet état de fait découle largement de l'organisation des systèmes d'information et de leur découpage en silos qui occasionnent des ruptures dans les processus. Des ruptures notamment provoquées par l'association de différentes briques technologiques. Par ailleurs, sur les systèmes traditionnels, intervenir sur les opérations en cours s'avère impossible sans impacter la performance de la production. Sans plate-forme Big Data temps réel, les auditeurs se trouvent donc cantonnés à leur rôle traditionnel.

Conseiller l'évolution des processus

Or, même si les opérationnels ne seront jamais ravis d'interagir avec l'audit - synonyme de contrôle des activités -, ils reconnaissent qu'il peut avoir une réelle valeur. En experts des processus, les auditeurs ont en effet le potentiel pour se muer en conseillers dans les stratégies d'évolution de ceux-ci, afin de mieux intégrer en amont des dimensions comme la conformité ou la lutte contre la fraude. Des sujets sur lesquels ils sont, certes, aujourd'hui déjà sollicités, mais uniquement en fin de développement, afin d'ajouter des contrôles.

Face à ces constats, les technologies innovantes qu'amène SAP sont de nature à favoriser la transformation du métier d'auditeur. Tout d'abord, la plate-forme HANA assure des traitements en temps réel sur les données opérationnelles, ce qui permet aux auditeurs de mettre en place des contrôles plus préventifs, exécutés à mesure que les opérations se déroulent. Ensuite, notre dernière génération d'ERP, SAP S/4HANA, se traduit par une simplification drastique du modèle de données. Avant, pour analyser des données comptables, il fallait manipuler une quinzaine de tables dont certaines renfermant des logs techniques : un modèle trop complexe pour des profils fonctionnels. Avec SAP S/4HANA, toutes les informations comptables figurent dans une unique table, appelée le journal universel. Cette centralisation rend évidemment les analyses plus simples. Surtout, elle fournit aux métiers une structure de table aisément compréhensible : on peut ainsi imaginer que les auditeurs créent eux-mêmes leurs scripts de contrôle et les exécutent à la volée, quand ils le souhaitent. Là où aujourd'hui, ils doivent se contenter, au mieux, de campagnes trimestrielles ou semestrielles. La création du journal universel lève enfin certaines limites sur les jointures entre tables qui subsistaient avec ECC 6.

Contrôles inter-applicatifs facilités

La plate-forme SAP HANA apporte aussi une réponse aux ruptures de processus inter-applicatifs, une difficulté classique du métier d'auditeur. Nées de la multitude d'applications que les organisations assemblent pour composer leur système d'information, ces ruptures peuvent être gommées grâce aux fonctions de réplication en temps réel de la plate-forme HANA, qu'on alimente via des connecteurs depuis les applications non-SAP. Ce besoin se fait en particulier sentir avec les ventes, souvent gérées dans un système tiers. Les fonctions de réplication de données vont alors permettre de créer et exécuter des contrôles relatifs à ce métier, en associant informations issues du système pilotant cette activité et données transactionnelles venant de l'ERP.

En plus des capacités de sa plate-forme, SAP propose, via son portefeuille GRC (Gouvernance, Risque et Conformité), un ensemble d'outils facilitant le design et la mise en œuvre de contrôles, allant de la vérification de conformité à de multiples réglementations comme la Loi de sécurité financière ou le règlement européen sur la protection des données personnelles (notamment avec la solution Process Control), à la détection des menaces de sécurité via l'analyse de logs techniques (Enterprise Threat Detection) en passant par la gouvernance des accès aux systèmes d'information.

Impliquer les métiers dans la gestion des alertes

En plus de la création des contrôles, le portefeuille GRC assure aussi leur industrialisation. Qu'il s'agisse d'exécuter les scripts, de remonter les alertes, de gérer ces dernières et les workflows associés ou de fournir le reporting permettant de rendre l'information intelligible pour les métiers. En effet, les licences des outils de reporting SAP sont incluses avec l'offre GRC. Un choix dicté par la volonté de réduire la durée qui sépare la détection d'une anomalie et son traitement. En effet, au-delà des capacités intrinsèques de la technologie SAP, aligner l'audit sur le rythme de l'activité passe par l'intégration des métiers dans le traitement des alertes. Or, pour ce faire, ces derniers ont besoin d'une information compréhensible, donc de Business Intelligence. Un point crucial dans la conduite du changement devant mener à la transformation des métiers de l'audit.

Dans ce schéma qui se dessine, les modèles prédictifs seront probablement amenés à jouer un rôle croissant. Avec, à terme peut-être, des systèmes capables de détecter eux-mêmes les scénarios de fraude. Mais ce type de solutions n'est aujourd'hui pas disponible sur étagère. Et l'expertise des auditeurs sera toujours nécessaire pour affiner les modèles que la machine proposera. Pour l'heure, les techniques de Machine Learning ont toutefois déjà leur utilité, afin d'optimiser les contrôles. Toute la difficulté en la matière consiste en effet à isoler les bonnes valeurs permettant de détecter les anomalies sans générer trop de faux positifs. C'est ce travail d'optimisation fine que les algorithmes prédictifs savent, aujourd'hui déjà, effectuer rapidement et efficacement. Contribuant, eux aussi, à transformer le métier des auditeurs, en épargnant à ces derniers des tâches fastidieuses et sans réelle valeur ajoutée.

