Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...

 
CONTINUER À LIRE
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
Comment gérer
le risque de non-
compliance à l’ère
de la transformation
digitale ?

Étude mondiale 2018 sur
l’analyse forensic de données
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
Conduite auprès de 745 entreprises dans 19 pays,
l’étude EY « Comment gérer le risque de non-compliance
à l’ère de la transformation digitale ? » évalue le niveau
de maturité des entreprises en matière d’analyse
forensic de données.

Les principaux avantages de la « Forensic Data Analytics » (FDA)
91%     Improved riskassessments
 88%     Meilleure évaluation desrisques
91%     Improved riskassessments
 87%     Capacité à détecter les risques à travers de larges ensembles de données
91%     Improved riskassessments
 81%     Résultats plus rapides lors d’investigations
91%     Improved riskassessments
 80%     Actions correctives plus rapides et plus pertinentes
91%     Improved riskassessments
 79%     Réponse aux attentes des régulateurs
91%     Improved riskassessments
 74%     Meilleure transparence del’activité
91%     Improved riskassessments
 55%     Réduction du coût des programmes de gestion des risques

Q : Quels sont, selon vous, les principaux avantages du recours à l’analyse forensic de données ?

                                                                    La notion d’analyse forensic de données
                                                                    (« Forensic Data Analytics », ci-après FDA) se
                                                                    réfère à la capacité de collecte et d’utilisation
                                                                    desdonnées, à la fois structurées (ex. écritures
                                                                    comptables, données transactionnelles) et non
                                                                    structurées (ex. email, messages vocaux ou tout
                                                                    autre champ de description ou de commentaire
                                                                    enregistré dans un système d’information) afin de
                                                                    prévenir, détecter, surveiller ou investiguer des
                                                                    transactions potentiellement frauduleux ou
                                                                    encore des faits ou comportements non
                                                                    éthiques.
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
1
                          La transformation digitale est un moteur
                          de l’analyse forensic de données qui permet
                          de couvrir plus efficacement les risques

La transformation digitale crée de nouvelles opportunités en matière de FDA (Forensic Data Analytics, dite analyse forensic de données)
en même temps qu’elle s’accompagne de nouveaux risques, en particulier en matière de sécurité des données et de mise en œuvre de
réglementations sur la protection des données personnelles.
Dans l’ensemble, les répondants confirment que la FDA permet de couvrir non seulement ces nouveaux risques, mais également la
fraude aux états financiers, la corruption, le blanchiment, ainsi que les attaques informatiques, qu’elles soient le fait d’attaquants internes
ou externes à l’entreprise. Près d’un quart des personnes interrogées reconnaissent ainsi qu’il est utile d’y recourir pour se mettre en
conformité avec le Règlement Général sur la Protection des Données (ci-après RGPD). Cet intérêt se traduit par un accroissement de 51 %
des budgets annuels alloués à la FDA par rapport à 2016.

L’efficacité de la FDA dans la gestion des risques

                      Investigations internes (Base : 287)            31%                                              50%                               11%           8%

                 Fraudes aux états financiers (Base : 210)                 35%                                         42%                          12%           11%

                                 Blanchiment (Base : 229)            27%                                         49%                               10%           14%
           Compliance en termes de sécurité des données
               et de protection des données (Base : 582)
                                                                    24%                                        49%                               13%             14%

          Cyberattaques et menaces internes (Base: 558)             25%                                        47%                               16%              12%

                                   Corruption (Base : 325)           28%                                       41%                           16%                15%

      Fraude externe et criminalité financière (Base: 325)     19%                                      47%                                17%                  17%

                   Evolutions règlementaires (Base : 393)      19%                                       47%                              16%                  18%

                     Régulations sectorielles (Base: 400)       21%                                     42%                          15%                   22%

                       Due diligence des tiers (Base : 327)    19%                                 40%                              19%                    22%

                    Risques de projets capital (Base : 266)     21%                                 38%                             19%                    22%

                    Projets d'investissements (Base : 233)    18%                                 39%                         16%                        27%

                                 Contentieux (Base : 239)     16%                            40%                              19%                         25%

 Antitrust et comportement anticoncurrentiel (Base : 192)     17%                           34%                              25%                          24%

 Très efficace                           Assez efficace                    Inefficace                           FDA non utilisé

Q : Pour quels risques utilisez-vous l’analyse forensic de données, et quelle est son efficacité?

                                                                                        3
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
2
                      L’utilisation des technologies avancées
                      se développe, mais les compétences
                      nécessaires ne sont pas toujours disponibles

Les entreprises utilisent de plus en plus des technologies avancées pour gérer leurs risques juridiques, de fraude ou de compliance.
En 2018, elles sont 54 % à utiliser un outil de visualisation des données, contre 12 % en 2014. Et si 29 % d’entre elles utilisaient un outil
de contrôle continu en 2014, elles sont désormais près de 46 % à l’avoir effectivement mis en place en 2018. Enfin, la veille web et
médias sociaux existe aujourd’hui dans 40 % des entreprises interrogées, contre 21 % en 2014.

Les outils et technologies au service de la gestion des risques juridiques et de compliance

 Feuilles de calcul et bases de données relationnelles                                                    90%

                                Entrepôts de données                                           63%

                             Outils conçus en interne                                    55%

                            Visualisation et reporting     12%%
                                                           12                    25%                    54%

                                     Contrôle continu                    29
                                                                          29%%                          46%

   Suivi des alertes de sécurité et gestion d’incidents                                 43%

           Analyse statistique et analyse de données      11%             18%                  42%
                                                                     %
                    Veille internet et réseaux sociaux            21%                  25%        40%

                                     Analyseforensic                      33%

                    Robotisation de processus (RPA)            14%
                   Reconnaissance et analyse vocale       8%

  2014                                     2016                                        2018

Q: Quels outils/technologies utilisez-vous pour gérer vos risques juridiques, de fraude et de compliance?

Environ   14 %   prévoient également la mise en œuvre d’outils de robotisation de processus et d’intelligence artificielle pour améliorer les
efforts en matière de conformité.

Si une amélioration de la capacité des entreprises à traiter les données peut être notée, que celles-ci soient structurées (comme les
données financières par exemple) ou non structurées (emails, etc.), il apparaît que le croisement et l’accès à des données provenant
                                        33 % des répondants. Optimiser le potentiel des technologies du FDA requiert des équipes
de différentes sources reste un défi pour
multidisciplinaires ayant des compétences techniques et opérationnelles en FDA. Or, seul 12 % à 13 % du panel considère posséder
cette combinaison d’expertises.

                                                                                              4
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
3
                   L’intégration et la gouvernance de l’analyse
                   forensic de données doivent être faites au plus
                   haut niveau pour obtenir un résultat efficace

Bien que  57 %   des conseils d’administration se soient saisis des sujets stratégiques liés à la FDA ("Forensic Data Analytics"),     45 %
des répondants indiquent qu’il est nécessaire que le management renforce sa connaissance des atouts de cette approche.

Au sein de l’entreprise, la collaboration transverse nécessaire à l’implémentation du FDA - entre différents départements et à différents
niveaux - reste un enjeu pour plus de   50 % des répondants.
           22 % des répondants estiment que les départements qui traitent de la gestion du risque sont compartimentés et ne collaborent
Par ailleurs
pas en matière de FDA. Les efforts sont donc dispersés et 39 % des répondants n’ont pas de spécialistes du sujet.

4
                   En matière de conformité, la protection
                   et la gestion des données personnelles
                   peuvent largement bénéficier de l’analyse
                   forensic dedonnées

Les entreprises sont aujourd’hui confrontées au défi de se mettre       informatique. La FDA permet aussi de relier et comprendre le
en conformité avec le Règlement Général sur la Protection des           contenu des données localisées dans des systèmes / bases de
Données (dit RGPD), dont l’entrée en vigueur est effective depuis       données diverses qui ne sont pas toujours connectées les unes aux
mai 2018. Ce Règlement complexe s’applique à l’ensemble
                                                                        autres. En matière de compliance RGPD, les efforts sont cependant
des activités mondiales de l’entreprise et prévoit des sanctions
financières significatives.                                             encore insuffisants. Selon l’étude, seuls   13% des répondants
                33 % des entreprises ont déployé un tel
Selon l’étude, seules
                                                                        affirment avoir déployé des outils spécifiques de suivi et de reporting
                                                                        permettant de répondre aux exigences de conformité et
programme et 39 % des répondants indiquent ne pas être au
fait de ce règlement. Sans surprise, les Européens sont les plus        52 % des répondants affirment analyser l’utilisation d’outils FDA
                                                                        pour leur conformité RGPD.
impliqués en la matière :   60 % des répondants de cette région
du monde indiquent avoir déployé un dispositif de compliance dédié      Leur rôle est également crucial pour détecter les comportements
                                                                        non éthiques y compris les risques de fraude. Ils contribuent à la
(50% en France). En Chine et aux Etats-Unis, ce pourcentage est
                                                                        réalisation d’investigations dans le respect des obligations en
bien plus bas : il ne s’élève respectivement qu’à 10 % et 32 %.         matière de gestion des données personnelles et permettent de
42 %      des répondants sont convaincus que RGPD aura un impact        réduire les coûts liés au déploiement du programme de compliance.
important sur l’utilisation de la FDA. La mise en œuvre des outils
                                                                              Règlement Général sur la Protection des Données (RGPD)
et techniques d’analyse de données constitue un atout précieux,
                                                                              il s’applique à toutes les entreprises et à toutes leurs activités
notamment pour localiser les données, identifier les personnes
                                                                              avec portée extra-territoriale. Il impose la confidentialité « par
qui y ont accès, comprendre la façon dont elles sont utilisées
                                                                              défaut » et « par design » et une notification dans les 72 heures
et protégées, et être en mesure de faire face à une intrusion                 en cas de fuite de données. Les entreprises contrevenantes
                                                                              s’exposent à une amende de 4 % de leur chiffre d’affaires,pour
                                                                              un minimum de 20 M€. Le réglement est applicable depuis mai
                                                                              2018.

                                                                      5
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
5                 Utiliser le potentiel de la FDA au service
                  de la transformation de la fonction Risque

Au-delà d’une meilleure gestion des risques, l’analyse forensic de données permet d’apporter de la transparence dans la gestion des
opérations. Cette démarche requiert le déploiement de technologies et d’équipes aux compétences adéquates, ainsi qu’une intégration
forte.
La mise en œuvre systématique de cette approche permet de prévenir les incidents et de limiter leur gravité, tout en réduisant les coûts
d’investigation. Cette approche participe aussi d’un meilleur contrôle interne des états financiers et d’une optimisation du suivi de la
conformité de façon plus large. Des bénéfices qui ne sont pas à négliger dans un contexte où les régulateurs recherchent de plus en plus à
analyser les moyens de contrôles de conformité déployés, au-delà de la revue des programmes et procédures existants.

Les acteurs concernés par la gestion des risques de non compliance et ayant recours aux outils d’analyse forensic de données sont très
divers. Une insuffisante collaboration entre eux constitue une entrave à leur développement. Mettre en place une gouvernance de l'analyse
forensic des données au sein de l’organisation est donc primordial si l’objectif de l’entreprise est d’atteindre les meilleurs résultats possibles
en matière de gestion des risques de non compliance.

 Notre accompagnement à vos côtés

• Créer, revoir ou améliorer votre programme d’intégrité et de compliance (fraude, corruption, anti-trust, LCB/FT, OFAC, cyber,
  RGPD, etc.).
• Auditer l’efficacité du programme de compliance au regard des exigences anti-corruption (Sapin 2, « Foreign Corrupt Practices Act »,
  « UK Bribery Act »), OFAC, anti-fraude etc., des régulateurs. Réaliser des revues à blanc, des tests de robustesse et d’efficacité.
• En matière de fraude et de corruption spécifiquement :
  • Extraire et analyser les données et les preuves électroniques lorsqu’une fraude ou irrégularité est suspectée ou avérée, tout en
    respectant les procédures légales requises.
  • Répondre aux demandes des autorités et des régulateurs en matière de données et preuves numériques.
• Prévenir et détecter proactivement certains risques de non-conformité y compris :
  • Tester la robustesse du contrôle interne et la correcte application des procédures grâce à l’analyse de données.
  • Identifier les schémas potentiels et les indicateurs de fraude et de corruption grâce à l’utilisation d’outils et de techniques d’analyse
    de données sophistiquées et automatisées (analyse des réseaux, modèles prédictifs, etc.).

  • Déployer des outils de contrôle interne et de conformité (ex. systèmes de revue des tiers dans le cadre du KYC bancaire ou de la loi
    Sapin 2).
• Déployer et animer une structure complète de réponse aux incidents suite à une compromission suspectée ou avérée sur un système
  d’information, puis en reprendre durablement le contrôle.
• Réaliser un inventaire exhaustif des données personnelles stockées et manipulées au sein de l’entreprise. Produire une cartographie
  des flux de données, dans le cadre d’une mise en conformité RGPD (Data Discovery & Data Mapping).

                                                                        6
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
EY | Audit | Conseil | Fiscalité & Droit |Transactions
                                                                     Contact
EY est un des leaders mondiaux de l’audit, du conseil, de la
fiscalité et du droit, des transactions. Partout dans le monde,
notre expertise et la qualité de nos services contribuent à créer
les conditions de la confiance dans l’économie et les marchés
financiers. Nous faisons grandir les talents afin qu’ensemble,
ils accompagnent les organisations vers une croissance
pérenne. C’est ainsi que nous jouons un rôle actif dans la
construction d’un monde plus juste et plus équilibré pour nos
équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à
l’un ou plusieurs des membres d’Ernst & Young Global Limited,        Philippe Hontarrède
dont chacun est une entité juridique distincte. Ernst & Young        Associé, Leader France
Global Limited, société britannique à responsabilité limitée par     Associé, FIDS Ernst & Young etAssociés
garantie, ne fournit pas de prestations aux clients.                 philippe.hontarrede@fr.ey.
                                                                     Tél.: +33 146 93 62 10
Retrouvez plus d’informations sur notre organisation sur
www.ey.com.

© 2018 Ernst & Young
Tous droits réservés.

Studio EY France — 1805SG308
© Photos : GettyImages

      Document imprimé conformément à l’engagement d’EY de réduire
      son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait
se substituer à un conseil professionnel en matière comptable,
fiscale ou autre. Pour toute question spécifique, vous devez
vous adresser à vosconseillers.

ey.com/fr
Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
Vous pouvez aussi lire