RPA et Gestion des risques (2/3) : Comment faire face aux nouvelles menaces pour le CFO ?

L’application de la RPA aux processus de contrôle interne offre de séduisantes opportunités aux Directions Financières. La sécurisation des avantages qu’elle procure sur le long terme implique une bonne appréhension des risques associés.

Les entreprises qui initient des démarches de robotisation de leurs processus s’exposent à de nouveaux risques ou renforcent des risques existants liés à la sécurité SI et des données. En outre, la mise en place de solution de robotisation de tout ou partie des processus de contrôle interne pourrait également avoir pour effet d’exposer davantage de données confidentielles et sensibles appartenant à l’entreprise ou à ses clients. Il pourrait s’agir de données relatives aux contrôles de coordonnées bancaires de tiers ou de fraude de paiement clients ou fournisseurs.

Positionnés en tant qu’orchestrateur de processus dans la couche supérieure du SI finance, les outils RPA constituent une nouvelle brèche potentielle à sécuriser. Ainsi, il est essentiel de maintenir un niveau de sécurité homogène au sein du SI notamment grâce à la conduite régulière d’audit de vulnérabilité et d’analyses de risque sur l’ensemble du périmètre. L’outil RPA et le système sous-jacent devront également pouvoir rester compatibles au gré des mises à jour. Pour cela, la Direction Financière en collaboration avec la DSI doit s’orienter vers des solutions offrant le niveau de service adéquat et mettre en œuvre les bonnes pratiques en matière de gestion de projet, de politique de sécurité du SI et d’organisation une fois l’outil en condition opérationnelle.

En particulier, pour la robotisation des processus de contrôle interne, les risques concernent la conformité réglementaire. L’outil RPA doit notamment permettre de garantir l’intégrité des données comptables et financières. Le risque de non-conformité lors d’audits financiers lié à de potentielles erreurs de configuration ou de définition de processus entrainant une dérogation aux règles de contrôle devra être sécurisé. A cette fin, la question de la traçabilité des opérations dans le cadre d’un processus robotisé est centrale. Enfin, en cas de défaillance du système, il est indispensable de disposer d’un plan de continuité robuste et d’une documentation à jour afin de pouvoir faire intervenir la main d’œuvre humaine pour garantir le respect des exigences des contrôles. Par exemple, des activités de lettrage de règlements ou de réconciliation bancaire robotisées doivent pouvoir être conduites par des humains en cas de panne du système.

En pratique, la sécurisation des risques existants renforcés et des nouveaux risques induits par l’automatisation des processus de contrôle interne réside dans la définition d’une feuille de route stratégique de robotisation intégrant les plans de mitigation adéquates.

Apportant des modifications substantielles au mode de fonctionnement de la Direction Financière, la RPA s’accompagne logiquement d’une redéfinition des rôles des acteurs-clés de la gestion de projet. On peut distinguer trois profils indispensables au bon déroulement d’un déploiement RPA :

Le processus géré par un robot peut nécessiter au cours de sa durée de vie de la maintenance (le processus pouvant évoluer) et un contrôle de la qualité des livrables produits. Le robot pourra aussi être pris en défaut dans la gestion des exceptions que l’on préférera confier à un opérateur humain, responsable de la production, dont la bonne compréhension du processus est essentielle pour garantir son amélioration continue.

Dans le cadre d’un déploiement RPA, la transition entre le processus humain et le processus robotisé représente une phase particulièrement sensible, durant laquelle un soin particulier doit être apporté au maintien de la connaissance des processus qui peut être compromis par la diminution du nombre de collaborateurs.

L’implémentation de RPA doit ainsi anticiper ces risques de perte de connaissance et de moindre maîtrise des processus couverts par des robots, en mettant en place un véritable knowledge management par le concepteur de processus et qui devra décrire de façon exhaustive les processus qui vont être robotisés. Cette étape de documentation du processus peut aussi permettre son amélioration afin de le rendre plus efficient. Les outils de RPA pourraient aussi évoluer pour devenir le futur référentiel d'entreprise des processus. Ainsi, il n'y aurait plus de différence entre la cartographie des processus et la façon dont le processus est véritablement exécuté. Ce dernier serait alors harmonisé d'une entité à l’autre et d'un acteur à l’autre. La description du processus de production serait portée par la représentation schématique au sein de l'outil RPA sécurisant ainsi le risque d’obsolescence de la documentation qui ne retracerait pas une évolution récente du processus. L'outil RPA permettra également un accès dynamique aux procédures en autorisant la consultation depuis la description macroscopique des étapes du processus jusqu’aux règles de gestion applicables à chaque tâche.

Visant à limiter le risque de fraude, la séparation des tâches est une composante essentielle du contrôle interne. Au niveau du processus achats par exemple, un principe de base consiste à ne pas confier à une seule et même personne la possibilité de modifier le RIB d’un fournisseur et de valider un paiement. Mais si la séparation des tâches est maintenant banalisée dans les processus des grandes structures, elle reste complexe à mettre en œuvre et source d’inquiétude pour de nombreuses Directions Financières. Fréquemment, on lui reproche non seulement son coût, mais également la taylorisation des tâches des collaborateurs.

Limitant par définition l’intervention humaine, il peut être tentant de voir la RPA comme une solution « miracle » qui de fait réduirait le risque de fraude et faciliterait la séparation des tâches. Mais si l’automatisation d’un processus présente des avantages indéniables, elle peut également confronter la Direction Financière à de nouveaux risques qu’elle doit anticiper. Si l’on conçoit mal qu’un robot chargé de réaliser des tâches prédéfinies prenne la décision de commettre un acte malveillant, il convient de rester prudent, au risque de voir la robotisation offrir de nouvelles opportunités de fraude aux équipes chargées de déployer ces processus automatisés, susceptibles de créer des portes dérobées si des précautions ne sont pas prises au préalable.

En créant de nouvelles responsabilités, le projet RPA déplace les risques liés aux cumuls des fonctions, mais ne les supprime pas purement et simplement :

• D’un point de vue métier, le concepteur de processus doit prendre du recul en gardant à l’esprit la nature de l’activité et les risques identifiés préalablement à la robotisation pour que l’automatisation d’un processus ne devienne pas synonyme de nouvelles menaces.

• Pour l’architecte de l’automatisation, dissocier le développement, le contrôle qualité, la production et la maintenance constituent de bonnes pratiques classiques à prendre en considération. L’architecte ne devrait ainsi pas être en mesure d’introduire des modifications structurantes dans l’environnement de production sans les autorisations adéquates.

• Pour les acteurs de la production, il est préconisé de poursuivre les efforts visant à concevoir une politique de gestion des habilitations responsable et réfléchie, afin de leur octroyer un périmètre d’action délimité et seuls les droits d’accès nécessaires au bon déroulement de leur mission.

• Au niveau des robots eux-mêmes, il conviendra sans doute de rester prudent dans un premier temps, en instaurant une séparation des tâches similaires à celle appliquée aux humains.

En complément de ces précautions, on peut imaginer l’exécution de recettes non plus seulement fonctionnelles mais également liées à la gestion des risques, qui veilleront à ce que les actions des robots restent cantonnées aux périmètres d’intervention préalablement dessinés et paramétrés. La traçabilité de ces actions constitue également une étape à ne pas négliger et qui permettra d’identifier la source d’un éventuel cas de fraude.

La robotisation des processus d’une Direction Financière apparait comme un projet ambitieux qui doit être accompagné des précautions nécessaires pour ne pas donner naissance à de nouvelles menaces. Impactant fortement l’organisation de l’entreprise, elle ne produira les effets escomptés qu’à la condition d’être mûrement réfléchie préalablement à sa mise en place et d’être issue d’une collaboration étroite entre les différentes parties prenantes (DSI, contrôle interne, audit interne etc.). Lorsqu’elle est déployée dans de bonnes conditions, la RPA peut incontestablement devenir une alliée de choix pour la gestion des risques et augmenter la valeur ajoutée du contrôle interne, comme nous le verrons dans le troisième volet de cette série d’articles.