Accueil / dossier / L’auditeur interne ne peut pas être un acteur isolé

L’auditeur interne ne peut pas être un acteur isolé

"On ne doit pas voir la data uniquement comme un outil technique," explique David Métivier, Head of Group Internal Audit for IT & Operations de Sodexo. « Son exploitation doit avant tout pouvoir s’appuyer sur une bonne gouvernance de la « data ». L’auditeur interne ne peut pas en être un acteur isolé. Il doit se rapprocher de tous ceux qui ont lien avec la data dans l’entreprise : informatique, sécurité, CDO, DPD, etc. ».

Dans le cadre des missions d’audit interne menées au sein de Sodexo, les data analytics sont utilisées dans environ un tiers des cas. Ce qui représente une bonne courbe d’expérience permettant de « mettre en lumière les freins à lever pour exploiter les données avec un maximum d’efficacité », poursuit David Métivier.

« Le premier frein à lever, c’est évidemment l’accès à la data. L’auditeur interne, qui n’en est pas le « propriétaire » légitime, doit être capable de convaincre, de rassurer, de communiquer avec les différentes parties prenantes (responsables métier et informatique principalement) pour pouvoir accéder à ces données ». Une tâche d’autant plus complexe dans un groupe mondial, où le nombre de lieux (cf. hébergement de la data), d’interlocuteurs, d’organisations et d’écosystèmes applicatifs est démultiplié. Tout comme le sont les nouvelles sources de data qui viennent s’ajouter aux classiques applications back-office, avec de nouveaux flux liés aux réseaux sociaux (risque réputationnel) et les objets connectés par exemple.

Le second frein, c’est qu’une fois l’accès aux données obtenu, il faut bien sûr pouvoir les comprendre. « Sans phase de préparation, il est parfois impossible de savoir à quoi des datas correspondent, » reprend David Métivier, « un échange avec les « propriétaires légitimes » des données est indispensable, surtout dans le cas où plusieurs pays, plusieurs systèmes sont concernés ».

Troisième point important : travailler sur le design des scénarios de tests. « C’est un état d’esprit en fait. Que vais-je pouvoir faire de plus pour les exploiter ? Il faut réfléchir à la puissance que représente cette mine d’information et comment réinventer mon approche du test d’audit pour en tirer une vision supérieure. Et là, c’est une question de collaboration. Comment le data analyst va pouvoir traduire ce que moi, auditeur interne, j’attends comme objectif de contrôle ? Une bonne façon d’y parvenir est que celui-ci participe concrètement à une mission, ce qui développe la synergie ». Chez Sodexo, le data analyste est ainsi membre à part entière de l’équipe d’audit, ce qui est clairement formulé dans nos lettres d’annonce précisant la tenue prochaine d’un audit.

Quatrième frein à lever : rester à la pointe de l’innovation. « Il faut pouvoir automatiser les parties les plus récurrentes de nos tests pour gagner en efficacité et en autonomie. L’auditeur interne peut alors lancer d’un simple clic un script pour récupérer des tests et consacrer plus de temps à l’analyse ». Cette automatisation permettra notamment au data analyst de se consacrer à des tests plus personnalisés, en lien avec le 3eme point évoqué ci-dessus.

Enfin, la visualisation des résultats nécessite un vrai travail et une réelle source d’opportunité en termes de communication. « Nous utilisons encore aujourd’hui essentiellement Excel, alors que de nouveaux outils permettent une très grande efficacité visuelle où l’on peut mettre en évidence les changements d’amplitude. Dans un rapport, avec 2 ou 3 diagrammes, on est beaucoup plus efficace qu’en 15 lignes de commentaires. L’objectif est clairement de capter l’attention du lecteur. On peut même imaginer que nous passerons bientôt à des rapports digitaux en ligne, dont ces diagrammes pourront être actualisés en temps réel ».

David Métivier, Head of Group Internal Audit for IT & Operations de Sodexo