Comment gérer le risque de non-compliance à l'ère de la transformation digitale ? - Étude mondiale 2018 sur l'analyse forensic de données ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Comment gérer le risque de non- compliance à l’ère de la transformation digitale ? Étude mondiale 2018 sur l’analyse forensic de données
Conduite auprès de 745 entreprises dans 19 pays,
l’étude EY « Comment gérer le risque de non-compliance
à l’ère de la transformation digitale ? » évalue le niveau
de maturité des entreprises en matière d’analyse
forensic de données.
Les principaux avantages de la « Forensic Data Analytics » (FDA)
91% Improved riskassessments
88% Meilleure évaluation desrisques
91% Improved riskassessments
87% Capacité à détecter les risques à travers de larges ensembles de données
91% Improved riskassessments
81% Résultats plus rapides lors d’investigations
91% Improved riskassessments
80% Actions correctives plus rapides et plus pertinentes
91% Improved riskassessments
79% Réponse aux attentes des régulateurs
91% Improved riskassessments
74% Meilleure transparence del’activité
91% Improved riskassessments
55% Réduction du coût des programmes de gestion des risques
Q : Quels sont, selon vous, les principaux avantages du recours à l’analyse forensic de données ?
La notion d’analyse forensic de données
(« Forensic Data Analytics », ci-après FDA) se
réfère à la capacité de collecte et d’utilisation
desdonnées, à la fois structurées (ex. écritures
comptables, données transactionnelles) et non
structurées (ex. email, messages vocaux ou tout
autre champ de description ou de commentaire
enregistré dans un système d’information) afin de
prévenir, détecter, surveiller ou investiguer des
transactions potentiellement frauduleux ou
encore des faits ou comportements non
éthiques.
1
La transformation digitale est un moteur
de l’analyse forensic de données qui permet
de couvrir plus efficacement les risques
La transformation digitale crée de nouvelles opportunités en matière de FDA (Forensic Data Analytics, dite analyse forensic de données)
en même temps qu’elle s’accompagne de nouveaux risques, en particulier en matière de sécurité des données et de mise en œuvre de
réglementations sur la protection des données personnelles.
Dans l’ensemble, les répondants confirment que la FDA permet de couvrir non seulement ces nouveaux risques, mais également la
fraude aux états financiers, la corruption, le blanchiment, ainsi que les attaques informatiques, qu’elles soient le fait d’attaquants internes
ou externes à l’entreprise. Près d’un quart des personnes interrogées reconnaissent ainsi qu’il est utile d’y recourir pour se mettre en
conformité avec le Règlement Général sur la Protection des Données (ci-après RGPD). Cet intérêt se traduit par un accroissement de 51 %
des budgets annuels alloués à la FDA par rapport à 2016.
L’efficacité de la FDA dans la gestion des risques
Investigations internes (Base : 287) 31% 50% 11% 8%
Fraudes aux états financiers (Base : 210) 35% 42% 12% 11%
Blanchiment (Base : 229) 27% 49% 10% 14%
Compliance en termes de sécurité des données
et de protection des données (Base : 582)
24% 49% 13% 14%
Cyberattaques et menaces internes (Base: 558) 25% 47% 16% 12%
Corruption (Base : 325) 28% 41% 16% 15%
Fraude externe et criminalité financière (Base: 325) 19% 47% 17% 17%
Evolutions règlementaires (Base : 393) 19% 47% 16% 18%
Régulations sectorielles (Base: 400) 21% 42% 15% 22%
Due diligence des tiers (Base : 327) 19% 40% 19% 22%
Risques de projets capital (Base : 266) 21% 38% 19% 22%
Projets d'investissements (Base : 233) 18% 39% 16% 27%
Contentieux (Base : 239) 16% 40% 19% 25%
Antitrust et comportement anticoncurrentiel (Base : 192) 17% 34% 25% 24%
Très efficace Assez efficace Inefficace FDA non utilisé
Q : Pour quels risques utilisez-vous l’analyse forensic de données, et quelle est son efficacité?
3
2
L’utilisation des technologies avancées
se développe, mais les compétences
nécessaires ne sont pas toujours disponibles
Les entreprises utilisent de plus en plus des technologies avancées pour gérer leurs risques juridiques, de fraude ou de compliance.
En 2018, elles sont 54 % à utiliser un outil de visualisation des données, contre 12 % en 2014. Et si 29 % d’entre elles utilisaient un outil
de contrôle continu en 2014, elles sont désormais près de 46 % à l’avoir effectivement mis en place en 2018. Enfin, la veille web et
médias sociaux existe aujourd’hui dans 40 % des entreprises interrogées, contre 21 % en 2014.
Les outils et technologies au service de la gestion des risques juridiques et de compliance
Feuilles de calcul et bases de données relationnelles 90%
Entrepôts de données 63%
Outils conçus en interne 55%
Visualisation et reporting 12%%
12 25% 54%
Contrôle continu 29
29%% 46%
Suivi des alertes de sécurité et gestion d’incidents 43%
Analyse statistique et analyse de données 11% 18% 42%
%
Veille internet et réseaux sociaux 21% 25% 40%
Analyseforensic 33%
Robotisation de processus (RPA) 14%
Reconnaissance et analyse vocale 8%
2014 2016 2018
Q: Quels outils/technologies utilisez-vous pour gérer vos risques juridiques, de fraude et de compliance?
Environ 14 % prévoient également la mise en œuvre d’outils de robotisation de processus et d’intelligence artificielle pour améliorer les
efforts en matière de conformité.
Si une amélioration de la capacité des entreprises à traiter les données peut être notée, que celles-ci soient structurées (comme les
données financières par exemple) ou non structurées (emails, etc.), il apparaît que le croisement et l’accès à des données provenant
33 % des répondants. Optimiser le potentiel des technologies du FDA requiert des équipes
de différentes sources reste un défi pour
multidisciplinaires ayant des compétences techniques et opérationnelles en FDA. Or, seul 12 % à 13 % du panel considère posséder
cette combinaison d’expertises.
4
3
L’intégration et la gouvernance de l’analyse
forensic de données doivent être faites au plus
haut niveau pour obtenir un résultat efficace
Bien que 57 % des conseils d’administration se soient saisis des sujets stratégiques liés à la FDA ("Forensic Data Analytics"), 45 %
des répondants indiquent qu’il est nécessaire que le management renforce sa connaissance des atouts de cette approche.
Au sein de l’entreprise, la collaboration transverse nécessaire à l’implémentation du FDA - entre différents départements et à différents
niveaux - reste un enjeu pour plus de 50 % des répondants.
22 % des répondants estiment que les départements qui traitent de la gestion du risque sont compartimentés et ne collaborent
Par ailleurs
pas en matière de FDA. Les efforts sont donc dispersés et 39 % des répondants n’ont pas de spécialistes du sujet.
4
En matière de conformité, la protection
et la gestion des données personnelles
peuvent largement bénéficier de l’analyse
forensic dedonnées
Les entreprises sont aujourd’hui confrontées au défi de se mettre informatique. La FDA permet aussi de relier et comprendre le
en conformité avec le Règlement Général sur la Protection des contenu des données localisées dans des systèmes / bases de
Données (dit RGPD), dont l’entrée en vigueur est effective depuis données diverses qui ne sont pas toujours connectées les unes aux
mai 2018. Ce Règlement complexe s’applique à l’ensemble
autres. En matière de compliance RGPD, les efforts sont cependant
des activités mondiales de l’entreprise et prévoit des sanctions
financières significatives. encore insuffisants. Selon l’étude, seuls 13% des répondants
33 % des entreprises ont déployé un tel
Selon l’étude, seules
affirment avoir déployé des outils spécifiques de suivi et de reporting
permettant de répondre aux exigences de conformité et
programme et 39 % des répondants indiquent ne pas être au
fait de ce règlement. Sans surprise, les Européens sont les plus 52 % des répondants affirment analyser l’utilisation d’outils FDA
pour leur conformité RGPD.
impliqués en la matière : 60 % des répondants de cette région
du monde indiquent avoir déployé un dispositif de compliance dédié Leur rôle est également crucial pour détecter les comportements
non éthiques y compris les risques de fraude. Ils contribuent à la
(50% en France). En Chine et aux Etats-Unis, ce pourcentage est
réalisation d’investigations dans le respect des obligations en
bien plus bas : il ne s’élève respectivement qu’à 10 % et 32 %. matière de gestion des données personnelles et permettent de
42 % des répondants sont convaincus que RGPD aura un impact réduire les coûts liés au déploiement du programme de compliance.
important sur l’utilisation de la FDA. La mise en œuvre des outils
Règlement Général sur la Protection des Données (RGPD)
et techniques d’analyse de données constitue un atout précieux,
il s’applique à toutes les entreprises et à toutes leurs activités
notamment pour localiser les données, identifier les personnes
avec portée extra-territoriale. Il impose la confidentialité « par
qui y ont accès, comprendre la façon dont elles sont utilisées
défaut » et « par design » et une notification dans les 72 heures
et protégées, et être en mesure de faire face à une intrusion en cas de fuite de données. Les entreprises contrevenantes
s’exposent à une amende de 4 % de leur chiffre d’affaires,pour
un minimum de 20 M€. Le réglement est applicable depuis mai
2018.
5
5 Utiliser le potentiel de la FDA au service
de la transformation de la fonction Risque
Au-delà d’une meilleure gestion des risques, l’analyse forensic de données permet d’apporter de la transparence dans la gestion des
opérations. Cette démarche requiert le déploiement de technologies et d’équipes aux compétences adéquates, ainsi qu’une intégration
forte.
La mise en œuvre systématique de cette approche permet de prévenir les incidents et de limiter leur gravité, tout en réduisant les coûts
d’investigation. Cette approche participe aussi d’un meilleur contrôle interne des états financiers et d’une optimisation du suivi de la
conformité de façon plus large. Des bénéfices qui ne sont pas à négliger dans un contexte où les régulateurs recherchent de plus en plus à
analyser les moyens de contrôles de conformité déployés, au-delà de la revue des programmes et procédures existants.
Les acteurs concernés par la gestion des risques de non compliance et ayant recours aux outils d’analyse forensic de données sont très
divers. Une insuffisante collaboration entre eux constitue une entrave à leur développement. Mettre en place une gouvernance de l'analyse
forensic des données au sein de l’organisation est donc primordial si l’objectif de l’entreprise est d’atteindre les meilleurs résultats possibles
en matière de gestion des risques de non compliance.
Notre accompagnement à vos côtés
• Créer, revoir ou améliorer votre programme d’intégrité et de compliance (fraude, corruption, anti-trust, LCB/FT, OFAC, cyber,
RGPD, etc.).
• Auditer l’efficacité du programme de compliance au regard des exigences anti-corruption (Sapin 2, « Foreign Corrupt Practices Act »,
« UK Bribery Act »), OFAC, anti-fraude etc., des régulateurs. Réaliser des revues à blanc, des tests de robustesse et d’efficacité.
• En matière de fraude et de corruption spécifiquement :
• Extraire et analyser les données et les preuves électroniques lorsqu’une fraude ou irrégularité est suspectée ou avérée, tout en
respectant les procédures légales requises.
• Répondre aux demandes des autorités et des régulateurs en matière de données et preuves numériques.
• Prévenir et détecter proactivement certains risques de non-conformité y compris :
• Tester la robustesse du contrôle interne et la correcte application des procédures grâce à l’analyse de données.
• Identifier les schémas potentiels et les indicateurs de fraude et de corruption grâce à l’utilisation d’outils et de techniques d’analyse
de données sophistiquées et automatisées (analyse des réseaux, modèles prédictifs, etc.).
• Déployer des outils de contrôle interne et de conformité (ex. systèmes de revue des tiers dans le cadre du KYC bancaire ou de la loi
Sapin 2).
• Déployer et animer une structure complète de réponse aux incidents suite à une compromission suspectée ou avérée sur un système
d’information, puis en reprendre durablement le contrôle.
• Réaliser un inventaire exhaustif des données personnelles stockées et manipulées au sein de l’entreprise. Produire une cartographie
des flux de données, dans le cadre d’une mise en conformité RGPD (Data Discovery & Data Mapping).
6
EY | Audit | Conseil | Fiscalité & Droit |Transactions
Contact
EY est un des leaders mondiaux de l’audit, du conseil, de la
fiscalité et du droit, des transactions. Partout dans le monde,
notre expertise et la qualité de nos services contribuent à créer
les conditions de la confiance dans l’économie et les marchés
financiers. Nous faisons grandir les talents afin qu’ensemble,
ils accompagnent les organisations vers une croissance
pérenne. C’est ainsi que nous jouons un rôle actif dans la
construction d’un monde plus juste et plus équilibré pour nos
équipes, nos clients et la société dans son ensemble.
EY désigne l’organisation mondiale et peut faire référence à
l’un ou plusieurs des membres d’Ernst & Young Global Limited, Philippe Hontarrède
dont chacun est une entité juridique distincte. Ernst & Young Associé, Leader France
Global Limited, société britannique à responsabilité limitée par Associé, FIDS Ernst & Young etAssociés
garantie, ne fournit pas de prestations aux clients. philippe.hontarrede@fr.ey.
Tél.: +33 146 93 62 10
Retrouvez plus d’informations sur notre organisation sur
www.ey.com.
© 2018 Ernst & Young
Tous droits réservés.
Studio EY France — 1805SG308
© Photos : GettyImages
Document imprimé conformément à l’engagement d’EY de réduire
son empreinte sur l’environnement.
Cette publication a valeur d’information générale et ne saurait
se substituer à un conseil professionnel en matière comptable,
fiscale ou autre. Pour toute question spécifique, vous devez
vous adresser à vosconseillers.
ey.com/fr
Vous pouvez aussi lire
