Le digital pour mieux lutter contre la fraude en entreprise

Fraudes, RGPD, erreurs humaines… Les entreprises font face à de nombreux risques et enjeux réglementaires. L’intelligence artificielle pourrait permettre de les éviter.

Avec l’essor de la digitalisation, les fraudeurs débordent de créativité : qui dit nouvelles technologies dit nouvelles techniques de malversations. Comme si ce n’était pas suffisant, l’adoption de nouvelles méthodes de travail s’accompagne aussi de nouveaux risques qui peuvent être technologiques, financiers mais aussi liés à la réputation des entreprises. Un défi pour les pôles Governance, Risk and Compliance (GRC) qui doivent s’assurer que les entreprises arrivent à fonctionner efficacement (governance) tout en se conformant aux réglementations (compliance) et en prévenant les risques (risk).

Mais ces nouvelles technologies pourraient réduire ces risques. Pour Pauline Eckert, associée KPMG responsable de l’offre GRC, des nouveautés technologiques comme le big data et l’intelligence artificielle pourraient permettre d’automatiser la détection des fraudes et ainsi de mieux protéger l’entreprise.

Hello Open World : La gestion des risques, et surtout de la fraude interne, n’a rien de nouveau, pourquoi en parler maintenant ?

Pauline Eckert : La gestion des risques internes et externes n’est pas un sujet nouveau mais elle fait face à de nouveaux défis liés à la croissance exponentielle des volumes de données manipulées (données transactionnelles, machines industrielles connectées, réseaux sociaux etc.)

La GRC a changé de visage, il y a une vingtaine d’années, avec l’arrivée des ERP [Ndlr : les ERP (Enterprise Resource Planning) sont des logiciels professionnels (« progiciels ») intégrés à l’instar de SAP]. Au lieu d’avoir un logiciel pour chaque processus – comptabilité, achats, gestion du stock, RH, etc. – les entreprises n’en ont plus aujourd’hui qu’un seul qui constitue la colonne vertébrale du système d’information.

Cela a ouvert la porte à de nouveaux types de fraudes internes. Une personne pouvait par exemple profiter de ses accès pour changer les données bancaires d’un fournisseur, mettre les siennes à la place puis procéder à un paiement en prétendant à un achat au fournisseur. Il a donc fallu se poser la question des contrôles : à qui donne-t-on accès à telle ou telle information, à tel ou tel outil ? Quel circuit de validation au sein des processus ? Quels contrôles sur l’intégrité des données ?


Lire aussi : Les cinq clés pour mettre en place le privacy by design

Il y a une quinzaine d’années, suite au scandale Enron, les entreprises ont renforcé la séparation des tâches ou « segregation of duties » (SOD) : celui qui fait n’est pas celui qui valide. Une même personne ne peut pas cumuler des responsabilités opérationnelles et des responsabilités de contrôle au sein d’un même domaine. La GRC, c’est donc le troisième œil qui assure que les processus sont sous contrôle.

L'ombre d'une femme d'affaire devient celle d'une superhéroïne

L’IA permet d’optimiser la vérification des erreurs en interne dans les entreprises. Les fraudeurs n’ont qu’à bien se tenir ! Image de aurielaki

Avec l’arrivée du big data et de l’intelligence artificielle, les possibilités de la GRC sont décuplées. Hier, il était impossible de déceler toutes les anomalies dans les processus car nous n’étions pas capables d’analyser l’ensemble des données de l’entreprise. Aujourd’hui, cette barrière est tombée.

HOW : Comment l’essor du digital change-t-il la détection des risques ?

P.E. : Avant la digitalisation, nous ne disposions pas d’un tel volume d’informations. Celles qui étaient à notre disposition faisaient l’objet de vérifications manuelles. C’était un travail très fastidieux. Aujourd’hui, grâce aux possibilités technologiques, cette approche a été remplacée par une approche automatique et systématique. Il existe désormais des outils connectés aux ERP qui vont scanner toutes les informations de l’entreprise et vont faire remonter les anomalies. Les personnes responsables des contrôles pourront alors concentrer leurs efforts sur l’analyse, le traitement et la prévention des anomalies plutôt que sur leur détection.


Lire aussi : L’intelligence augmentée : « au lieu de corriger des problèmes, on les anticipe »

Par exemple, nous avons été sollicités très récemment par un client pour automatiser les contrôles manuels existants sur ses processus au travers d’outils d’analyse de données. Nous avons mis en place des tableaux de bord visant à prévenir des risques de fraude ou d’erreur : doublon de factures ou de fournisseurs, commandes créées après réception, paiements effectués un jour férié etc.

Demain, avec l’intelligence artificielle, ces mêmes indicateurs pourront alimenter des algorithmes de machine learning et permettront de repérer des schémas de fraude basés sur des combinaisons de valeurs suspectes. Des solutions GRC dédiées à la gestion de la fraude existent déjà sur le marché.

HOW :  De plus en plus de scandales ont à voir avec les réseaux sociaux ou la gestion des données personnelles, est-ce que la GRC peut aider les entreprises à se protéger de ces risques ?

P.E. : Oui, la GRC s’adapte aux risques émergents. Par exemple, avec le développement des réseaux sociaux, le risque de réputation s’accentue. Les scandales se créent et se propagent bien plus vite. De nouvelles solutions GRC sont développées pour pallier ces risques de réputation dans les réseaux sociaux.

En parallèle, la règlementation se renforce pour répondre aux nouveaux risques générés par cet essor de la digitalisation. En particulier, nous avons tous été impactés, entreprises et particuliers, par le nouveau règlement Européen GDPR lié à la protection des données personnelles. Pour l’instant, la priorité des entreprises est de ne pas se faire sanctionner par la CNIL dans le cadre du GDPR. Elles effectuent donc des états des lieux de leurs procédures et données puis identifient la trajectoire de mise en conformité avec les articles du règlement. La prochaine étape sera celle de l’outillage.

Les experts GRC accompagneront les entreprises dans cette démarche d’outillage et cette mise en conformité afin d’intégrer cette nouvelle dimension Données Personnelles dans l’approche Contrôle Interne plus globale. Qui sait, peut-être parlerons nous de GDPRC… !

Ce qu’il faut retenir, c’est que la GRC est incontournable, quelle que soit la taille de l’entreprise. Les risques sont nombreux et leur évolution s’accélère avec la digitalisation. Il faut donc s’en prévenir ou a minima les contrôler !

La rédaction HOW

par L'ADN

Linkedin

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous