Hero Background Image

Confessions d'un ex-auditeur : pourquoi les logiciels d'entreprise intégrant des contrôles médiocres sont mauvais pour votre santé

 

Laissez-moi commencer par tout vous dire : je suis un ex-auditeur. J'ai commencé ma carrière comme comptable dans l'ancienne entreprise Deloitte Haskins & Sells à San Francisco. Décharges faites, vous comprendrez pourquoi je suis passionné par les audits, la conformité, la gouvernance et les contrôles.

Les audits et les contrôles n'ont pas toujours été le souci principal des sociétés évaluant les logiciels d'entreprise. Celles-ci n'ont généralement pas considéré ces fonctions comme aussi vitales que le traitement des transactions, aussi visibles que le reporting financier ou aussi intrigantes que les analyses.

 

Sans disposer des contrôles et de la gouvernance appropriés, les entreprises peuvent souffrir de sérieuses conséquences.

 

En toute franchise, il y a des années, dans le monde d'avant Sarbanes-Oxley, il était peu nécessaire que les entreprises se penchent de près sur les efficacités de leurs contrôles internes, et ce n'était même pas possible techniquement. Avec un stockage à 200 000 $ par gigaoctet et des restrictions dans la puissance de traitement, les systèmes sur site étaient rentabilisés simplement en capturant les entrées de journal et en les cumulant dans les soldes de grand livre.

Il n'en va pas de même aujourd'hui. Dans le climat commercial actuel caractérisé par une responsabilité accrue des entreprises, la gouvernance ne peut plus être une option. Sans disposer des contrôles et de la gouvernance appropriés, les entreprises peuvent souffrir de sérieuses conséquences.

Les fournisseurs financiers traditionnels ont répondu à ce besoin en acquérant de nouvelles technologies et en les intégrant à leurs ressources. Toutefois, cette approche « après-vente » ne va pas sans un certain nombre d’inconvénients se traduisant par un potentiel d'erreurs et de risques significatifs. Dans les détails, cette approche est la suivante :

  • Inefficacité : les contrôles rajoutés après coup alourdissent des processus qui n’ont jamais été conçus pour traiter une telle charge, ce qui se traduit par de faibles performances. De ce fait, les utilisateurs désactivent les contrôles système et gèrent la conformité manuellement.
  • Documentaire difficiel : les logiciels traditionnels nécessitent de documenter manuellement les contrôles au moyen de feuilles de calculs, de descriptions écrites et de diagrammes de flux qu'il faut ensuite mettre à jour manuellement.
  • Mise à jour difficile : parce que le modèle de contrôles rajoutés ne connecte jamais entièrement les personnes aux processus de gestion automatisés, les paramètres de contrôle (par exemple, quels employés peuvent approuver quels processus) doivent être mis à jour manuellement en cas de modification liée au personnel ou à l’organisation. En outre, la sécurité doit être gérée séparément pour chaque système, ce qui rend sa mise à jour complexe et coûteuse.
  • Non exhaustivité : dans la mesure où des notions comme le workflow sont apparues longtemps après la conception des systèmes traditionnels, l'infrastructure de contrôle n'a pas été centrale dans la conception du système. Pour certains processus, les contrôles devaient être appliqués de manière individuelle. L'approche fragmentée n'est pas exhaustive et signifie que pour un processus nouveau ou ajusté, les exigences de contrôle et d'audit doivent être prises en compte séparément.

Une nouvelle approche

Aujourd'hui, un système d'entreprise doit disposer de concepts et de fonctionnalités de contrôle intégrés au socle. Il est littéralement impossible de disposer en couches les contrôles sur un système d'entreprise préexistant et de pouvoir assurer un environnement de contrôle efficace, complet, documentable, maintenable et auditable.

C'est pourquoi cette possibilité pour Workday d'avoir pu partir de zéro en 2005 était si cruciale. Elle nous a permis de planifier et de concevoir la gouvernance et les contrôles au cœur même des fondations de notre système et de répondre aux défis faisant face aux entreprises. Voici comment nous avons procédé :

Un seul et même système de gestion

Nous avons conçu l'audit et le contrôle directement au cœur de Workday et sur le workflow (notre structure du processus de gestion) de sorte que toute l'activité de l'entreprise soit modelée et gouvernée dans un seul et même système.

 

La gouvernance et les contrôles ne sont pas toujours les thèmes les plus attrayants, mais ils forment le socle d'un système d'entreprise qui soutient votre organisation à long terme.

 

Disposer de tous les aspects dans un seul et même système (financeRH et contrôles) élimine un risque de contrôle majeur en cas de déconnexion entre le système et ses utilisateurs, chose typique avec les systèmes traditionnels. La confidentialité et la sécurité sont intégrées au système, indiquant ce que chaque personne ou rôle peut voir et faire. Si une modification liée au personnel ou à l’organisation se produit, le système Workday le sait et adapte automatiquement les contrôles sans nécessiter de maintenance longue et coûteuse. En fait, nous aurions tendance à dire qu’aujourd’hui, un environnement de conformité efficace est possible uniquement si l’ensemble du système connaît parfaitement ses utilisateurs, y compris leurs rôles, leurs autorisations, leurs limites d’approbation, leurs managers et leurs relations avec les nombreux départements pour lesquels ils travaillent.

Audit permanent

L'architecture de données « in-memory » moderne de Workday permet d’accéder à toutes les données système, en temps réel, grâce à un accès continu aux éléments probants d’audit. De plus, le système est auto-documenté de sorte que tout changement de processus est enregistré, y compris par qui et quand. Ceci offre aux auditeurs un aperçu complet de toutes les transactions et simplifie le regroupement des données financières et opérationnelles à des fins d’audits internes et externes.

Reporting en temps réel

Les auditeurs peuvent créer des rapports basés sur des données en temps réel directement dans Workday, de sorte que les informations sont constamment à jour. Les rapports et tableaux de bord préconfigurés pour les auditeurs présentent également les tendances en temps réel (par exemple, l’augmentation du nombre de notes de frais non conformes) pour pouvoir résoudre les problèmes rapidement.

Les contrôles ne sont pas toujours les thèmes les plus attrayants, mais ce sont les fruits et les légumes, et non les nourritures sucrées, qui assurent la base de la santé, et la gouvernance et les contrôles forment le socle d'un système d'entreprise qui soutient votre organisation à long terme. Croyez-en un ex auditeur : Ce sont les aspects qui séparent les systèmes modernes tels que Workday des systèmes traditionnels du « big ERP. »

Cette parole d'expert, écrite par Mark Nittler, a été publiée initialement en anglais sur le blog Workday.