Quand le "Big Data" et l'"analyse" seront-ils inclus dans l'audit?
8 oct. 2017
Quand le "Big Data" et l'"analytique" seront-ils inclus dans l'audit ?
Le volume massif de données disponible à l'intérieur et à l'extérieur des entreprises et la place occupée par les nouvelles technologies d'analyse de données changent fondamentalement la mission d'audit. Cette courte histoire explorera les possibilités et expliquera les principaux défis auxquels seront confrontés les auditeurs de demain.
Historiquement, les données étaient quelque chose que vous possédiez et étaient généralement structurées et générées par l'homme. Cependant, les tendances technologiques de la dernière décennie ont élargi la définition, qui inclut désormais les données non structurées et générées par des machines, ainsi que les données situées en dehors des limites de l'entreprise.
Le terme "Big Data" est utilisé pour décrire ce vaste et croissant portefeuille de données. L'opinion générale est que le «Big Data» aura un impact significatif sur l'amélioration de la productivité, des profits et de la gestion des risques. Ces données ont une valeur limitée à moins qu'elles ne soient analysées.
L'«analytique» est le processus d'analyse de données pour obtenir des conclusions significatives. Les entreprises et les grandes organisations ont reconnu les possibilités que le Big Data et leurs analyses offrent, et nombre d'entre elles investissent de manière significative pour mieux tirer parti et influencer leurs activités.
Dans ce cas, les cabinets d'audit, eux-mêmes concernés par un domaine auquel je participe, voient un potentiel significatif dans la transformation de l'audit.
'Il s'agit d'une véritable migration des approches d'audit traditionnelles vers celles qui intègrent pleinement le big data et l'analytique de manière plus cohérente.'
Transformer l'audit
Alors que nous continuons d'évoluer dans l'un des climats économiques les plus difficiles et inégaux des temps modernes, le rôle des auditeurs sur les marchés financiers est plus crucial que jamais. Les cabinets d'audit doivent fournir leurs audits pour servir l'intérêt public en améliorant continuellement la qualité et en fournissant une plus grande intelligibilité, pertinence et fiabilité aux utilisateurs des états financiers. Le scepticisme professionnel et une concentration permanente sur la qualité des preuves et leurs robustesses sont nécessaires dans le cadre d'une mission d'audit. Entre-temps, les entreprises attendent un dialogue amélioré avec leurs auditeurs et des informations plus pertinentes.
Alors que la profession reconnaît depuis longtemps l'impact de l'analyse de données sur l'amélioration de la qualité et de la pertinence de l'audit, l'utilisation courante de cette technique a été entravée par un manque de solutions technologiques efficaces, des problèmes de saisie de données et des préoccupations en matière de confidentialité. Cependant, les progrès technologiques récents dans le big data et l'analytique offrent une opportunité de repenser la manière dont un audit est effectué.
L'audit transformé ira au-delà des tests basés sur des échantillons pour inclure l'analyse de l'ensemble des populations de données pertinentes pour l'audit, en utilisant l'intelligence artificielle pour déduire les conclusions les plus plausibles et fournir des informations financières plus pertinentes. Le «Big Data» et l'«analytique» permettent aux auditeurs de mieux comprendre les états financiers, la fraude et les risques opérationnels et d'adapter leurs approches.
Alors que nous progressons de manière significative et commençons à voir les avantages du «Big Data» et de l'«Analytique» dans l'audit, nous reconnaissons que c'est un chemin à parcourir. Une bonne façon de décrire où nous en sommes en tant que profession est de faire des parallèles avec Netflix et le service d'abonnement aux films. Lorsque l'entreprise a commencé en 1997, elle a adopté un modèle de DVD par courrier électronique, envoyant des films à ses clients, qui les retournaient après une soirée ou une semaine de divertissement. Netflix a toujours su que l'avenir était la diffusion de films en ligne, mais la technologie n'était pas prête à l'époque, pas plus que le haut débit n'était aussi répandu depuis sa création.
Aujourd'hui, nous sommes engagés dans l'équivalent d'un audit par DVD, transférant les données de nos clients à nos auditeurs. Ce que nous voulons faire, c'est avoir des appareils d'audit intelligents qui résident sur les serveurs de données des entreprises et diffuser les résultats de l'analyse aux équipes d'audit. Mais la technologie pour concrétiser cette vision en est encore à ses balbutiements, et en attendant, nous réalisons des analyses des états financiers (ex-post) via des techniques d'analyse variées, principalement en utilisant des revues de probabilité, des comparaisons de données absolues, des comparaisons de données relatives (ratios) et des analyses de tendances.
Cela dit, nos approches actuelles sont basées sur les sorties et non sur les entrées. Cet examen critique permet à l'auditeur d'expliquer les anomalies évidentes, mais il n'est en aucun cas suffisant en soi pour prouver qu'un compte ou un document comptable ne contient aucune anomalie. En effet, ce n'est pas parce qu'il n'y a pas d'anomalie qu'il n'y en a pas de cachée.
'La transition vers cet avenir ne se fera pas du jour au lendemain. Il s'agit d'un pas de géant par rapport aux approches d'audit traditionnelles vers d'autres approches qui intègrent pleinement et de manière transparente le big data et l'analyse.'
Obstacles à l'intégration
Il existe plusieurs obstacles à l'intégration réussie du «Big Data» et de l'«Analytique» dans l'audit.
Le premier est la capture de données : si les auditeurs ne sont pas en mesure d'obtenir efficacement et rapidement les données de l'entreprise, ils ne pourront pas les analyser dans le cadre d'une approche d'audit. Aujourd'hui, les entreprises investissent massivement dans la protection de leurs données, avec des processus d'approbation à plusieurs niveaux. En conséquence, donner aux auditeurs accès à leurs données peut ne pas être évident. Et si tel est le cas, cet accès peut prendre beaucoup de temps. En effet, les entreprises refusent ou sont réticentes à fournir des données, évoquant des problèmes de sécurité.
De plus, les auditeurs rencontrent des centaines de systèmes comptables différents et, dans de nombreux cas, plusieurs systèmes au sein de la même entreprise. L'extraction de données n'a pas toujours été une compétence de base dans le cadre de l'audit, et les entreprises n'ont pas nécessairement cette compétence. Cela entraîne de multiples tentatives et de nombreux échanges entre l'entreprise et l'auditeur concernant la collecte de données.
Aujourd'hui, l'extraction de données est principalement axée sur les données de grand livre. Cependant, les données requises pour transformer l'audit sont celles obtenues à partir de sous-comptes, telles que les données de revenus ou de cycles d'approvisionnement, pour les processus commerciaux clés. Cela accroît la complexité de l'extraction de données et les volumes de données à traiter.
Alors qu'il est raisonnablement facile d'utiliser l'analytique descriptive pour comprendre l'entreprise et identifier des domaines de risque potentiels, il est beaucoup plus difficile d'utiliser l'«Analytique» dans l'audit pour produire des conclusions étayées par des preuves en réponse à ces risques. Un autre problème lié à la dépendance à l'égard de l'analyse des données volumineuses pour produire des preuves d'audit est l'ambiguïté ou la complexité de la manière dont l'analyse des données opère, avec des algorithmes ou des règles utilisés pour transformer des données binaires et produire des visualisations ou des rapports. Lorsque l'auditeur en arrive à ce stade, il doit trouver le juste équilibre entre la mise en œuvre du jugement professionnel et l'utilisation des résultats de ces analyses.
En fait, le juste équilibre à rechercher est un dosage entre le traitement et la modification des données reçues du client.
Rappelez-vous que l'audit pose des questions fondamentales uniquement parce que son processus n'est ni entièrement connaissable ni entièrement déterminable. L'audit dépend de la capacité à juger, de la capacité à relier les faits, les normes et les concepts, ainsi que des valeurs morales et humaines. Pour renforcer l'exercice de ce jugement, nous proposons de renforcer le processus même par l'intégration du «Big Data» et de l'«Analytique».
Cette intégration ne sera valorisée que si elle modifie de manière substantielle la nature, la chronologie et l'étendue des procédures d'audit. Cela demandera à l'auditeur de développer de nouvelles compétences axées sur la capacité à savoir interpréter les chiffres et à utiliser les résultats des analyses réalisées comme preuves d'audit.
Dilemmes analytiques
Une autre question concerne l'alignement des normes et réglementations d'audit avec l'utilisation du «Big Data» et de l'«Analytique» dans l'audit. En règle générale, la profession d'audit est régie par des normes qui ont été développées il y a quelques années et qui n'ont pas explicitement envisagé la possibilité d'exploiter le Big Data. Voici quatre domaines qui nécessiteront une plus grande considération.
1. Procédures analytiques de justification : Il examine les corrélations entre des éléments spécifiques des états financiers ou la vraisemblance d'un indicateur financier par le biais d'une comparaison à des attentes.
Une des principales différences avec les techniques d'analyse de données volumineuses est que les procédures sont utilisées pour identifier des transactions inhabituelles ou fausses, sur la base d'une analyse des données, généralement sans tenir compte d'une quelconque attente exprimée par l'auditeur. C'est l'«Analytique» qui détermine les attentes. Le Big Data et ce type de techniques d'analyse n’existaient pas lorsque la norme a été conçue, ils ne sont donc pas considérés comme une source de preuves. La norme ne prévoyait pas explicitement l'utilisation du Big Data comme source de preuves.
2. La validation des données utilisées pour l'analyse : en tant qu'auditeur, mettre en avant son scepticisme l'amène à examiner l'occurrence, l'exactitude et l'exhaustivité des informations reçues du client. Cela s'applique aux documents physiques (tels que les contrats) ou aux données électroniques.
Cependant, l'«Analytique» dans l'audit n'utilise pas ou ne repose pas sur des rapports générés par le système. Au lieu de cela, il est basé sur les données sous-jacentes qui sont extraites directement sans aucune manipulation par le client via un accès continu au serveur de données. L'auditeur est alors convaincu que ses analyses reposent sur des informations complètes et exhaustives du moment où les normes ne fournissent pas d'instructions concernant le type et le volume de données qu'il extrait.
3. Définition des preuves : Les normes fournissent une hiérarchie de la force des preuves collectées, allant des preuves externes aux preuves internes solides. Cependant, ces normes ne précisent pas quel type de preuves l'«Analytique» fournit.
Ainsi, en l'absence de cela, un auditeur diligent, conscient du cadre normatif contraignant, hésitera à le considérer comme une preuve.
4. Exactitude et confiance : L'audit est conçu pour détecter une anomalie significative. Les utilisateurs des états financiers s'attendent à être exempts d'erreurs importantes. Alors, quel niveau de précision les auditeurs ont-ils besoin pour leur «Analytique du Big Data» ? Les normes devraient fournir plus de guidance dans ce domaine.
En fin de compte, l'audit de demain pourrait être très différent de celui d'aujourd'hui. Les auditeurs pourront également utiliser le Big Data et l'Analytique pour mieux comprendre l'entreprise, identifier les principaux domaines de risque et savoir exactement quelles informations pertinentes l'auditeur doit extraire de l'Analytique. Cependant, pour parvenir à cette transformation, la profession devra travailler en étroite collaboration avec les principaux acteurs, de la direction d'entreprise aux organismes de réglementation et de normalisation.
Ce que nous recommandons aux comités d'audit :
Nous avons identifié trois domaines clés pour les comités d'audit et la direction d'entreprise à considérer dès maintenant concernant le «Big Data» et l'«Analytique» :
1. Audit externe : développer une meilleure compréhension de la manière dont l'analyse de leurs données est actuellement utilisée dans l'audit. Une enquête sur l'ensemble du processus est inévitable, de la saisie de données qui est un obstacle majeur, à l'étendue des données collectées et aux mesures prises par la fonction informatique de l'entreprise pour rationaliser l'entrée.
2. Conformité et gestion des risques : comprendre comment l'audit interne et les fonctions d'éthique peuvent utiliser aujourd'hui le «Big Data» et l'«Analytique», ainsi que les projets du processus de surveillance automatique.
3. Développement des compétences : le succès des investissements dans le «Big Data» et l'«Analytique» sera déterminé par le capital humain investi. L'accent ne doit pas se limiter au développement de compétences technologiques, mais doit s'étendre à la création d'une logique analytique dans les fonctions financières, de gestion des risques et d'audit pour consommer efficacement l'«Analytique du Big Data».
Avez-vous entendu parler de Robocop ?
En 2013, la Securities and Exchange Commission (SEC) des États-Unis a annoncé de nouvelles initiatives pour mieux identifier la fraude en matière d'information financière grâce à l'utilisation du «Big Data» et de l'«Analytique». L'une d'elles est le Accounting Quality Model (AQM), souvent appelé "RoboCop". AQM est un système d'intelligence artificielle entièrement automatisé qui analyse le dépôt d'une entreprise dans les 24 heures. Le système est conçu pour identifier les activités à haut risque en comparant le dépôt actuel avec ceux des entreprises du même secteur à travers le monde. La SEC a ensuite étendu les capacités du modèle pour inclure une analyse des rapports de gestion du responsable. Le personnel d'inspection de la SEC utilise le score de risque AQM pour influencer la portée et la direction des plans d'audit.
