Gros plan : la confiance à l’ère du numérique

La confiance à l’ère du numérique : rompre avec les lignes de défense traditionnelles afin de réduire les risques et de renforcer la confiance

Richard Thomas
Partner, Internal Audit Services, PwC Suisse

Paul de Jong
Partner, Operational Risk & Control Solutions, PwC Suisse

Dans un contexte où de nombreuses entreprises sont en pleine mutation, la confiance est devenue un atout plus précieux que jamais. Chaque entreprise ayant amorcé sa transformation numérique doit pouvoir compter sur la capacité de ses initiatives à apporter les avantages escomptés. Ses parties prenantes, telles que les clients et les fournisseurs, doivent quant à eux avoir l’assurance que l’entreprise restera un partenaire commercial fiable , capable de traiter leurs données de manière responsable.

Traditionnellement, les trois lignes de défense constituaient un élément clé pour instaurer et maintenir cette confiance : (i) la gestion opérationnelle et ses mesures de contrôle interne, (ii) les fonctions de surveillance telles que la gestion des risques et la compliance, et, (iii) les instances d’audit indépendantes telles que la Révision interne. Encore récemment, la répartition des tâches entre chaque ligne de défense était clairement définie. Aujourd’hui, les différences entre ces trois lignes et leurs fonctions respectives s’estompent de plus en plus, principalement en raison de l’influence des nouvelles technologies et de la transformation numérique. Dans cet article, nous nous interrogeons sur le maintien de cette séparation et si les trois lignes de défense traditionnelles constituent toujours la meilleure stratégie pour établir un climat de confiance au sein des entreprises.

Que signifie la confiance à l’ère de la transformation numérique ?

Les nouvelles technologies sont une arme à double tranchant, notamment en termes de confiance. Si les technologies offrent des moyens sans précédent pour sécuriser les processus et contrôler les risques, elles sont également la source de nouvelles menaces parfois difficiles à cerner. Pour profiter du potentiel engendré par ces nouvelles technologies et renforcer le climat de confiance envers ces technologies, les entreprises doivent réinventer le possible, explorer de nouvelles voies sans s’exposer à de nouveaux risques imprévus.

Des technologies telles que la blockchain, l’automatisation des processus robotisés (RPA), l’apprentissage automatique, l’intelligence artificielle (IA), le traitement du langage naturel et l’analyse prédictive constituent de réelles opportunités pour transformer les lignes de défense et améliorer la résilience aux risques des entreprises, et ce à moindre coût. Mais ces technologies émergentes génèrent également de nouveaux défis. Par exemple, la Révision interne dispose aujourd’hui d’une technologie de pointe lui permettant d’approfondir de nombreux contrôles. Mais, quel est l’impact sur les première et deuxième lignes de défense qui n’ont pas encore mis en œuvre cette technologie ? Une situation dans laquelle votre dernière ligne de défense est la plus solide n’est évidemment pas optimale, d’autant plus que cela peut créer des tensions au sein de votre organisation. La transformation numérique est inéluctable. C’est pourquoi les entreprises doivent impérativement en analyser les conséquences. À l’avenir, les technologies devraient être en mesure de prédire les erreurs avant même qu’elles se produisent. Par ailleurs, la transparence des processus opérationnels basés sur la blockchain pourrait rendre certains audits superflus. S’agit-il d’un film de science-fiction ? Non, mais ce scénario risque de se réaliser bien plus rapidement que vous ne l’escomptez. Il est donc grand temps d’en examiner les implications.

Deux exemples : l’intelligence artificielle et la blockchain

Pour illustrer notre propos, nous allons examiner deux technologies susceptibles de changer la donne et comprendre leurs implications en termes de risques et de contrôles.

Tout d’abord, l’intelligence artificielle. L’intelligence artificielle est en passe de révolutionner nos systèmes, mais qu’en est-il plus particulièrement de la comptabilité et des contrôles y afférents ? L’approvisionnement est un processus très procédural, qui génère une quantité considérable de données et qui a un impact important sur le résultat financier. Dans le cadre du contrôle classique, la procédure de validation dite « three-way match » consiste à garantir que vous ne payiez pas de factures incorrectes ou frauduleuses. Dans la pratique, ce contrôle est connu pour occasionner des retards dans les processus, fait l’objet de contournements et nécessite par conséquent beaucoup d’efforts de la part de toutes les lignes de défense. Imaginons maintenant que l’IA gère le processus depuis la commande jusqu’au paiement : déterminer le meilleur fournisseur, le volume et le calendrier ; surveiller les délais de livraison ; discuter avec l’IA des fournisseurs pour négocier des remises et clarifier les écarts entre les bons de livraison, les factures et les paiements ; prévoir et prévenir les erreurs de traitement sur la base de modèles d’erreur connus ; voire empêcher tous les éventuels cas de contournements. Vous avez soudainement transformé une procédure de vérification chronophage en un contrôle avec une valeur ajoutée pour votre entreprise qui est totalement intégré à vos processus opérationnels. Comment cela affecte-t-il les deuxième et troisième lignes de défense ? Sont-elles toujours nécessaires dans ce processus ?

Notre deuxième exemple est la blockchain. La tendance actuelle est à la collaboration avec des tiers. Dans ce contexte, la mise en place grâce à la blockchain d’un registre décentralisé pourrait jouer un rôle prépondérant. Pourquoi ne pas imiter ce que l’industrie automobile a déjà mis en place grâce aux interfaces de données électroniques (EDI) en créant un processus intégré de bout en bout et pouvant être géré, suivi et coordonné et ce, même lorsque des tiers sont impliqués. La blockchain permet d’aller encore plus loin dans cette démarche : toutes les parties impliquées partageraient un même registre (ou des copies de ce dernier) sûr et fiable puisqu’il ne peut pas être manipulé. Cette technologie a déjà été adoptée par les horlogers ainsi que par l’industrie alimentaire qui l’utilisent pour suivre leur chaîne d’approvisionnement.
Mais pensons simplement aux conséquences sur les contrôles et les lignes de défense. Dans la mesure où elle laisse une trace claire et non manipulable, la blockchain pourra couvrir de nombreuses activités comptables, y compris les contrôles effectués auparavant par la première ligne de défense. C’est la conception même du système qui garantit la confiance (« trust by design ») puisqu’elle ne laisse pas de place aux erreurs opérationnelles. Les deuxième et troisième lignes de défense devront-elles encore vérifier l’efficacité opérationnelle ou pourront-elles désormais se concentrer sur d’autres risques et tâches à plus forte valeur ajoutée ?

Toutefois, les opportunités offertes égalisent les défis à relever. Les entreprises doivent notamment se poser deux questions : pouvons-nous faire confiance aux données et aux prévisions fournies par ces nouvelles technologies? Nos lignes de défense sont-elles organisées de manière à nous permettre d’exploiter les avantages des nouvelles technologies tout en maîtrisant les risques, connus et inconnus, qu’elles engendrent ?

Vos lignes de défense ont-elles besoin d’être adaptées ? Et de quelle façon ?

C’est la situation de chaque entreprise, et en particulier son avancée dans le processus de transformation numérique et sa maturité, qui va déterminer dans quelle mesure elle devra repenser ses lignes de défense. Les entreprises déjà très avancées n’auront probablement pas le choix puisque leurs outils électroniques leur dicteront quels contrôles seront nécessaires et comment ils devront être réalisés. Comme nous l’avons vu précédemment, une nouvelle technologie telle que la blockchain génère, d’une part, de nombreuses inconnues et assure, d’autre part, une fonction de confiance décentralisée qui requiert une autre vérification hautement automatisée. Dans cette optique, les entreprises qui implémentent la blockchain devront repenser leurs lignes de défense pour s’assurer qu’elles continuent d’effectuer des tâches nécessaires et non redondantes. Les entreprises moins numérisées pourront envisager d’autres options en fonction de leur situation et de leurs ressources.

Nous ne pouvons pas proposer de solutions clés en main. Toutefois, nous avons préparé un certain nombre de questions cruciales vous permettant de déterminer si et dans quelle mesure vous devez réorganiser vos lignes de défense pour créer la confiance nécessaire à la réussite de votre transformation numérique.

  1. Quelle est votre stratégie numérique ?
  2. Comment cette stratégie numérique modifie-t-elle votre profil de risques et les types de risques éventuellement impactés ?
  3. Êtes-vous parfaitement organisé et disposez-vous des compétences appropriées pour faire face à ce nouveau profil de risques ?
  4. Avez-vous défini une feuille de route pour mettre en place des lignes de défense efficaces et adaptées à votre processus de transformation ?

Beaucoup d’entreprises à travers le monde se posent déjà ces questions. Dans un environnement où de nombreuses organisations réalisent que leur cœur de métier ne sera plus le même d’ici cinq à dix ans, il est urgent de trouver les réponses adéquates.

Dans la pratique, nous avons constaté que la meilleure façon de lancer un tel projet est de réunir vos différentes parties prenantes pour réfléchir à votre stratégie numérique et s’accorder sur les changements à amorcer ainsi que l’impact sur votre profil de risques. Selon notre expérience, il est primordial d’inclure dans la discussion les fournisseurs, les clients et les employés. En effet, la transformation du modèle d’affaires induite par la numérisation affecte l’ensemble de votre écosystème. Il est donc important de prendre en considération un large éventail d’opinions et d’intérêts pour obtenir une vision à 360 degrés de l’environnement des risques.

Au cours des différentes collaborations avec nos clients, il s’est avéré très utile de concevoir un modèle définissant les objectifs opérationnels pour les trois lignes de défense, et, de déterminer comment ce modèle évoluera en fonction des changements définis. Sur cette base, les clients sont en mesure d’établir une feuille de route fiable.

Qui doit prendre la direction de ce projet ?

Comme pour de nombreux sujets liés à la transformation numérique, instaurer la confiance dans cet environnement n’est pas une tâche simple et limitée à un seul domaine, tel que l’informatique ou la gestion des risques. Il s’agit d’un processus complexe dont les ramifications couvrent tous les domaines de l’organisation : de la technologie aux ressources humaines. Cela implique de savoir gérer efficacement les interactions entre différents aspects (produits, modèles de services, etc.) et les principales parties prenantes, telles que les partenaires commerciaux, les employés et les clients. C’est pour cette raison que la transformation numérique et la confiance numérique sont des questions dont la Direction doit se saisir : elles doivent figurer à l’ordre du jour du CEO et être discutées puis défendues au sein de l’entreprise. Dans de nombreux cas, nous constatons que les détails pratiques de la transformation numérique sont délégués au Responsable numérique ou au Responsable de la transformation numérique. Dans d’autres entreprises, c’est le CFO ou le COO qui assume cette responsabilité. Les membres de la Direction devraient également s’engager activement auprès de leurs Conseils, et en particulier de leurs Comités d’audit, pour veiller à un échange constructif tout au long du processus de transformation. Voilà comment instaurer un climat de confiance.

Nous contacter

Richard Thomas

Richard Thomas

Territory Leader Internal Audit and Risk Consulting Leader (Trade, Industry, Services), PwC Switzerland

Tel : +41 79 816 27 00

Paul de Jong

Paul de Jong

Partner, Risk Assurance, PwC Switzerland

Tel : +41 58 792 7658