Eurocroissance et investissement durable
RPA et Gestion des risques (1/3) : Vers une révolution du contrôle interne et de la lutte contre la fraude
A l’heure de la digitalisation, la donnée est au cœur de la transformation de la fonction finance. Cette nouvelle ère offre incontestablement des opportunités aux directions financières (gains de productivité, reporting affiné, dématérialisation…), notamment par l’utilisation de la RPA
A l’heure de la digitalisation, la donnée est au cœur de la transformation de la fonction finance. Cette nouvelle ère offre incontestablement des opportunités aux directions financières (gains de productivité, reporting affiné, dématérialisation…). A un niveau supérieur, l’Automatisation Robotisée de Processus (RPA) se définit comme l’ensemble des technologies visant à faciliter l’automatisation des processus en connectant plusieurs systèmes entre eux tout en limitant les activités humaines. Elle prend tout son sens lorsqu’elle est déployée sur des processus complexes impliquant une multiplicité d’acteurs et de systèmes d’information. Au travers de trois articles, nous nous interrogerons sur les impacts de la RPA sur la gestion des risques au sein de la direction financière de demain.
La RPA, une opportunité de repenser le contrôle interne
« Contrainte consommatrice de temps et de ressources », « inutilement complexe », « faible valeur ajoutée » : en dépit d’une nécessité à présent difficilement contestable, le contrôle interne a souvent bien mauvaise presse auprès des directions financières. Bien que la problématique de la fraude s’impose aujourd’hui comme une préoccupation majeure pour les directions financières - 81% des entreprises déclaraient craindre une accentuation du risque de fraude en 2017 - ces dernières sont pourtant souvent réticentes à octroyer les budgets nécessaires à la mise en place d’un contrôle interne de qualité dans un contexte de forte pression sur les budgets alloués aux fonctions dites « supports ».
La part de fraudes venant de l’intérieur même de l’entreprise étant significative, le renforcement du contrôle interne constitue un outil fondamental pour les directions financières à la recherche de solutions anti-fraude. Mais comment peut-il s’adapter et se moderniser en s’armant des nouvelles possibilités offertes par la RPA ?
L’analyse des données au service de la lutte contre la fraude
Bien que le « tout ERP » présente de nombreux atouts notamment en matière d’automatisation, de richesse fonctionnelle et de gestion des flux en temps réel, il a également créé un environnement à risque pour le contrôle interne dont l’importance n’a pas toujours été suffisamment mesurée par les entreprises lors du déploiement d’ERP s’appuyant sur des contrôles embarqués insuffisamment automatisés et intégrés, ce qui limite leur efficacité.
Les éditeurs d’ERP ont renforcé leur expertise relative aux problématiques de fraude et mettent l’accent sur l’importance de la gestion de la séparation des tâches afin d’empêcher un utilisateur de cumuler des habilitations qui lui permettraient de commettre une fraude sans garde-fou. Des solutions anti-fraude ont vu le jour, s’appuyant notamment sur le traçage des actions réalisées dans l’ERP et sur des pistes d’audit robustes afin de limiter les risques de pertes financières pour ses clients. La solution SAP Fraud Management permet par exemple de tracer la modification ponctuelle du RIB d’un fournisseur puis le retour aux coordonnées bancaires d’origine, signe révélateur d’une fraude classique touchant le processus achats, et le cas échéant de bloquer le compte fournisseur suspect.
L’explosion du volume de données produit rend impossible de procéder à des contrôles manuels. De nouvelles solutions étant spécifiquement consacrées à la lutte contre la fraude ont ainsi été développées par les éditeurs :
Kyriba a récemment intégré à sa plateforme de gestion financière un module spécifiquement dédié à la lutte contre la fraude (payment screening, Fraud Detection).Des solutions telles que Supervizor permettent un contrôle automatisé des anomalies en menant à l’extérieur du système client un set de contrôles génériques en continu. Elles s’assurent notamment de la cohérence du métier de l’utilisateur avec l’écriture comptabilisée (en détectant par exemple la saisie d’une écriture de banque par un comptable en charge d’opérations sans lien avec la trésorerie) ou en contrôlant les écritures enregistrées hors des horaires habituels de travail ou saisies un jour chômé.
Demain : la RPA, arsenal ultime contre la fraude en entreprise ?
Dans un contexte de contrainte budgétaire et de rationalisation des coûts qui se conjugue difficilement avec la prise de poids ininterrompue des contraintes réglementaires, il est aisé d’imaginer les opportunités que peut offrir l’automatisation des tâches les plus répétitives. Cette automatisation présente de nombreux avantages : réduction du risque d’erreur humaine, strict respect du processus de contrôle défini, productivité 24 heures sur 24, baisse du coût de formations liées à l’évolution de la réglementation, etc.
Au-delà de cette considération budgétaire, la robotisation présente l’avantage de favoriser le renforcement des contrôles réalisés a posteriori lorsqu’ils sont nécessaires (car non intégrés en amont au sein des processus ou dans l’ERP par des workflows), leur permettant de devenir ainsi de plus en plus systématiques, fréquents et exhaustifs. Elle contribue ainsi au renforcement de la robustesse du contrôle interne.
Vers une intégration naturelle du contrôle interne dans le processus
Il serait réducteur de n’envisager la RPA que comme une alternative automatisée reproduisant à l’identique une tâche aujourd’hui réalisée manuellement. Pour exploiter pleinement son potentiel, la RPA doit être accompagnée d’une refonte de processus réfléchie et correctement déployée.
Prenons l’exemple du processus achats et l’automatisation des contrôles liés à l’approbation d’une demande d’achat visant à contrôler le bien-fondé de la DA et éviter le sur-stockage, et à contrôler la validation de la demande d’achats par le service commercial, le responsable des achats ou le responsable des stocks. L’illustration ci-dessous présente les possibilités d’optimisation offertes par la RPA, dans le cas où le robot s’inscrirait dans un premier temps dans un processus achats « classique » déjà en place :
Cette première application fait travailler le robot et l’humain « main dans la main » et promet déjà des gains de productivité appréciables. Mais en repensant un processus qui reposerait sur une robotisation « de A à Z », nous pouvons imaginer un nouveau mode de contrôle interne allant plus loin :
Cette robotisation totale résulterait nécessairement d’une réflexion en amont visant à clarifier et optimiser le processus concerné, permettant des gains de productivité supplémentaires. L’humain ne serait alors plus sollicité qu’en bout de chaîne, son rôle se limitant à la gestion des anomalies.
La RPA va s'imposer en profondeur dans les processus de contrôle et de lutte contre la fraude
Ayant déjà fait ses preuves dans les secteurs bancaire et financier dans le cadre de politiques de diminution des coûts, le déploiement de la RPA pourra bientôt s’étendre à de nouveaux secteurs d’activité. La RPA n’en est encore pourtant qu’à ses balbutiements en matière de contrôle interne. Elle est pour l’instant principalement appliquée à l’automatisation de business process opérationnels qui constituent la priorité stratégique des dirigeants. En s’imposant progressivement dans l’entreprise, elle ne manquera pas de modifier en profondeur des processus informatisés profondément ancrés dans le fonctionnement des directions financières depuis l’avènement de l’ERP. Se posera alors naturellement la question de savoir jusqu’où il est non seulement possible mais également souhaitable d’automatiser les différents modes de contrôles sans faire courir à l’entreprise de nouveaux risques, rendant nécessaire l’adaptation des fonctions risques et audit.
Etude fraude 2017 d’Euler Hermes