De nouveaux risques à gérer et à auditer suite à la digitalisation des entreprises
La digitalisation d’une entreprise ne consiste pas seulement à proposer des produits ou des services en vente sur Internet. Elle est bien plus qu’un nouveau canal de distribution. Toute l’organisation est impliquée car la digitalisation est un tournant stratégique pris par une entreprise, concernant aussi bien la gouvernance, l’ensemble du personnel, les tiers. La connexion entre les individus au centre de la digitalisation est en effet aussi bien interne qu’externe, à la fois entre les employés mais aussi avec les partenaires de l’organisation.
Connectée pour mieux communiquer, numérisée pour mieux diffuser, l’entreprise dans sa globalité est amenée à évoluer sensiblement. La digitalisation n’est donc pas qu’un projet parmi d’autres puisqu’elle impacte tous les services. Ainsi, le management des risques et l’audit interne sont concernés par la numérisation des affaires et la connexion généralisée. Ils le sont d’ailleurs à double titre. Comme toutes les autres directions, les contrôleurs des risques et les auditeurs doivent modifier leurs habitudes de travail, en employant notamment des outils de communication à distance. Mais le management des risques et l’audit doivent en plus intégrer dans leurs travaux les effets de la digitalisation de leur entreprise.
Actualiser la cartographie des risques avec les risques inhérents à la digitalisation
La digitalisation de l’entreprise induit des risques spécifiques à la numérisation des affaires et à la connexion globalisée qu’il convient d’identifier, de mesurer, de couvrir avec des dispositifs de contrôle interne adéquats. Ces risques sont principalement les suivants :
- faible adhésion du personnel au changement numérique engagé par l’entreprise, ceci se traduisant chez les collaborateurs par des résistances pour faire évoluer les façons de faire, le développement d’un sentiment d’insécurité professionnelle au sein du personnel, ou encore une démotivation qui se généralise jusqu’à produire une protestation collective et durable ;
- non-respect de la vie privée et de la confidentialité des données, étant entendu que la numérisation tout comme la communication digitalisée élargissent le champ de la collecte et de la conservation des informations. Autrement dit, la croissance du volume de données traitées et archivées avec la digitalisation génère une probabilité plus élevée que soit avéré un risque touchant aux informations personnelles ;
- insuffisance en matière de sécurité des systèmes d’informations. Les contraintes sont plus fortes pour sécuriser toutes les données de l’entreprise dès lors que leur volume s’accroît, comme dit précédemment, mais aussi du fait de relations d’un nouveau type entre l’entreprise et son environnement. La multiplication des échanges numérisées oblige les organisations à travailler avec des architectures informatiques dites ouvertes, c’est-à-dire intégrant de plus en plus des données provenant de l’extérieur. En conséquence, le risque d’intrusion est plus élevé ;
- rupture d’activité. En effet, la digitalisation conduit à une plus forte intégration des traitements informatisés dans les process de l’entreprise. Même si ceci diminue le risque d’erreur humaine, ceci n’en constitue pas moins une plus forte exposition de l’organisation à des défaillances de son système d’informations impactant le déroulement des opérations ;
- risque de modèle. De plus en plus la commercialisation en ligne de produits ou de services repose sur des modélisations servant à anticiper le comportement des consommateurs. Les algorithmes qui en sont issus disposent de capacités de traitement et d’analyse des données très puissantes. Mais ces qualités s’estompent bien vite une fois que l’alimentation des informations dysfonctionne ou quand les hypothèses anticipatrices sont par trop éloignées de la réalité. Dans tels cas, la commercialisation digitale ne mène pas au client mais conduit à une impasse !
Auditer les dispositifs de couverture des risques inhérents à la digitalisation des affaires
La digitalisation des affaires impactant la maîtrise des risques, les auditeurs internes sont de fait concernés par le tournant numérique engagé au sein de leur organisation. Les points d’audit évoluent avec la numérisation des données et la communication digitalisée. Sur base des principaux risques identifiés précédemment, l’auditeur mettre en place les contrôles suivants :
- le développement d’une culture numérique au sein de l’entreprise est nécessaire pour emporter l’adhésion du personnel. L’auditeur s’assurera ainsi qu’une véritable conduite du changement a été mise en œuvre au sein de son organisation, impliquant l’ensemble des managers et les responsabilisant pour la réussite de la transition digitale ;
- le respect de la vie privée et de la confidentialité des données sont à encadrer par une démarche éthique impulsée par la gouvernance et formalisée au travers d’un code dédié et communiqué à l’ensemble des collaborateurs. L’audit interne vérifiera que l’impulsion des dirigeants est effective et produit ses effets, que chaque collaborateur a accès sans difficulté aux règles éthiques, testera pour certains salariés que ces règles sont bien appréhendés. L’auditeur pourra également s’assurer qu’existe un contrôle centralisé permettant d’identifier le cas échéant les consultations abusives de données personnelles ;
- concernant les systèmes d’informations, l’audit contrôle que la sécurisation des accès logiques a été renforcée et que son efficacité a été testée. Sur le plan formel, il convient de vérifier que les procédures de sécurité informatique ont été actualisées au regard de la digitalisation des affaires et que ces ajustements ont bien été communiqués à l’ensemble du personnel ;
- le plan d’urgence et de poursuite des activités doit être révisé sur base des effets inhérents à la numérisation des process et à la communication digitale élargie. L’audit interne s’assure donc que la révision du plan est réalisée, opérationnelle et testée ;
- en matière de modèle, la maîtrise des risques inhérents se traduit par des contrôles clés sur les entrées et sorties d’informations, sur la profondeur historique des données exploitées pour l’établissement des scénarios, sur la qualité des informations implémentées dans le modèle, sur l’existence d’un back-testing visant à tester la qualité des traitements au regard de données réelles. L’auditeur interne s’assurera donc que ces dispositifs existent et sont effectifs au sein de son organisation.
Article proposé par La rédaction