Transformez le contrôle interne dans le monde numérique

Partie 17 de la série « Controls and Risk Management »

Appelez-moi paresseux si vous le souhaitez, mais quelque chose qui m'exaspère toujours est d'être invité à effectuer une tâche manuelle fastidieuse, comme l'examen d'un point de données dans un système, même si je sais assez bien qu'il peut être automatisé.

Dans de nombreux cas, la procédure documentée dit que c'est OK car cela ne prendra que 10 à 15 minutes, ce qui n'est pas beaucoup dans un mois donné. Je vais vous donner cela.

Mais cela suppose que vous vous rappelez comment vous connecter au système, quel rapport exécuter, quelle colonne consulter… Et que vous ne recevez pas de demande urgente entre les deux qui vous fait dérailler. Habituellement, ces «tâches de 15 minutes» me prennent un bon double, sinon plus. Comme j'ai tenté de l'illustrer dans un précédent billet de blog ( Le contrôle interne peut-il être la clé de la longévité? ), je crois sincèrement que le contrôle interne est essentiel pour assurer le bon fonctionnement de l'environnement des affaires. Et le contrôle réglementaire – et public – rend de plus en plus important pour une organisation de se conformer aux normes de conformité et de fournir une assurance aux parties prenantes sur la continuité et la durabilité de l'entreprise.

Mais cette surveillance accrue va de pair avec une inflation des exigences réglementaires. . Et dans de nombreux cas, cela se traduit simplement par la création de nouveaux contrôles car, souvent, il n'y a pas de vérification pour savoir si un contrôle existant pourrait être utilisé pour une nouvelle mise en conformité.

En conséquence, non seulement les 15 minutes transformer en double au moins, mais ce n'est que pour un contrôle. Ajoutez à cela le fait que vous bénéficiez désormais de plus de commandes à effectuer, et l’hypothèse initiale selon laquelle cela est gérable car il s’agit d’une «tâche rapide et facile à exécuter» devient un fardeau beaucoup plus lourd. Et un fardeau que de nombreux propriétaires de contrôle estiment ne fait pas vraiment partie de leur travail principal.

C'est là que les choses peuvent devenir compliquées et où des problèmes peuvent survenir et ne pas être détectés: lorsque les gens sentent que ces contrôles sont inutiles, deviennent trop répétitifs, ils ne

Il est temps pour le contrôle interne 2.0

Prenons des contrôles atténuants dans le domaine de la gouvernance d'accès. Le contrôle d'accès – qui a accès à quoi – est vraiment un élément essentiel du cadre de contrôle interne de toute entreprise.

Dans certains cas, vous ne pouvez pas supprimer un risque d'accès en raison de la nature du processus, de la structure organisationnelle, etc. Vous avez donc mis en place un contrôle atténuant pour vous assurer que le risque d'accès est reconnu et géré.

Revenons maintenant à la situation d'origine où les gens arrêtaient simplement d'effectuer des contrôles avec le niveau de soins dont ils avaient besoin. Par erreur (ou peut-être délibérément), l’action défectueuse de quelqu'un pourrait passer sous le radar. Ce serait problématique. Et les contrôles d'atténuation ne sont qu'un exemple.

Mais il y a une bonne nouvelle: de nombreux contrôles peuvent être exécutés automatiquement. Et contrairement à un humain, une machine ne s'ennuie jamais. Il exécutera toujours le contrôle selon les normes les plus élevées – strictement selon la procédure documentée. Alors pourquoi ne pas tirer parti de cette option?

Cela aidera à créer un «contrôle interne basé sur les exceptions» où les procédures de test s'exécutent constamment en arrière-plan. Il n'y a pas de décalage dans le temps pour découvrir les anomalies et les propriétaires de contrôle ne sont avertis qu'en cas de détection d'un problème. Et comme ce n’est pas une routine, les propriétaires de commandes y prêteront attention.

Cela supprime le fardeau des épaules des propriétaires de commandes sans sacrifier les performances des commandes. Ils sont toujours faits, mais pas par un humain.

Ne rien laisser tomber entre les mailles du filet

Supposons maintenant que le contrôle a été effectué, manuellement ou automatiquement, mais qu’aucun problème n’a été détecté. Cela peut être dû au fait que la procédure n'est plus applicable ou pour de nombreuses autres raisons.

L'autre bonne nouvelle est que, dans le monde numérique, l'audit interne a accès à des outils qui leur permettent d'exécuter des modèles de détection médico-légale sur l'ensemble des données

De plus, ils pourront comparer leurs résultats aux résultats des contrôles, non pas pour réprimander le propriétaire du contrôle, mais plutôt pour essayer de comprendre Qu'est ce qui ne s'est pas bien passé. Peut-être que la définition du contrôle était fautive, peut-être que la procédure de test elle-même était inadéquate.

Cela conduira à un cycle d'amélioration continue et donc mieux protéger l'entreprise.

Maintenant, si nous combinons les deux méthodes – contrôles automatisés et une approche médico-légale de l'équipe d'audit – l'entreprise sera équipée de radars numériques pour attraper tout OVNI, alias Échecs inattendus des opérations . Remarque: c'est un terme que je viens d'inventer, mais vous ne pouvez pas nier qu'il semble parfois dans nos emplois que «la vérité est là-bas»!

Cela ne sonne pas beaucoup mieux que le scénario décrit au début de ce blog?

En savoir plus

Si cela vous intéresse, je vous recommande d'assister à l'événement virtuel qui aura lieu le 27 mai Transform Business Internal Control in a Digital World que Deloitte et SAP sont co-hébergement.

Au cours de ce webinaire, Tank Tang Ke partenaire, Deloitte Risk Advisory, partagera son point de vue d'expert de l'industrie sur la situation actuelle et sur la manière dont les talents, les processus et les outils peuvent soutenir le mise en place de telles stratégies et travail en tandem pour parvenir à une gouvernance, un risque et une conformité efficaces.

Nous avons également la chance d’avoir Hong Zhou Wong vice-président senior, Group Controllership chez Sinarmas, et Michael Liu Shaoshun vice-président Contrôle interne, Audit interne et Conformité chez Xiaomi Group, qui expliquera leurs défis dans ce domaine et les mesures qu'ils ont prises pour y remédier.

Enfin, mon collègue Amit Verma directeur régional, Finance and Risk Solutions, Asie-Pacifique & Le Japon (APJ) et vôtre vraiment auront le plaisir de fournir un aperçu rapide des offres de solutions SAP pour aider les entreprises à piloter leur programme de gouvernance, de risque et de conformité pour une organisation plus sûre et plus conforme.

Le L'événement sera, bien sûr, enregistré au cas où vous ne pourriez pas y assister en personne.

J'ai hâte de vous voir – pratiquement c'est le cas – à cet événement, et de lire vos pensées et commentaires sur Twitter @TFrenehard.

Cet article a été initialement publié sur SAP Community et est republié avec autorisation.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube