security by design

De l’importance d’un outil “secure by design” pour produire l’information financière

Du financement de l’activité avec les fonds de retraites de ses salariés par la direction d’Enron aux 2mds$ d’actifs manquants dans les comptes de Wirecard, tout part d’un manque de sécurisation des processus internes.

C’est ainsi que s’est accru le besoin de contrôle interne au service de la sauvegarde du patrimoine de l’entreprise (administration des accès bancaires, outils de notes de frais, fiabilisation de l’information financière …). Le prix n’est plus la seule variable qui intéresse les décideurs. Ils se focalisent aujourd’hui sur la qualité et notamment la sécurité garantie par les éditeurs.

La culture de l’audit interne et de l’audit IT

De plus en plus, les auditeurs transfèrent leur charge de travail vers les phases d’intérim et de pré-finale. En effet, dans le cadre des diligences autour de la NEP 315 et la NEP 330, il est admis que sur la base d’une bonne compréhension de l’entité et d’un contrôle IT et un contrôle interne concluant, les procédures substantives soient réduites. C’est ainsi que ce sont démocratisés les “ITGC” (information technology general controls), les procédures de “D&I” (design and implementation), les phases d’”OE” (operating effectiveness) ou encore l’identification des “IUC & IPE” (information used by the cie & information produced by the entity). Tous ces anglicismes sont arrivés avec la démocratisation du référentiel SOX contrôlé par le PCAOB. Dans ce type d’approche, si l’environnement IT de l’entité est maîtrisé, alors l’information financière en sortie d’un processus validé par audit IT et interne sera fiable. En définitive, l’approche est beaucoup plus concentrée sur les processus mis en œuvre que sur le résultat final.

Le concept de secure by design

Par nature attribuée à l’environnement de la cybersécurité, la notion de secure by design désigne tout applicatif logiciel qui par essence sécurise n’importe lequel de ses Output. Cela signifie que l’outil a été conçu et entraîné de sorte que l’introduction d’une anomalie en Input génère soit un Output filtré des potentielles erreurs, soit un rejet de traitement pour anomalie.

En définitive la finalité d’un outil Secure by design, c’est qu’il ne génère aucune erreur métier ou anomalie de type faux positif et offre de l’assurance et de la sérénité à ses utilisateurs.

Dans un outil de saisie comptable, l’environnement est extrêmement complexe car la saisie est au carrefour :

  • des  règles métiers comptables (partie double, cut-off, imputation P&L et bilancielle …) ;
  • des règles fiscales (autoliquidation de TVA BTP, régimes spécifiques outre-mer, …) ;
  • des règles commerciales ( respects des séquelles de factures, pratiques anticoncurrentielles …) ;
  • des pratiques très disparates des collaborateurs entre les cabinets.

Afin d’affronter une telle complexité, une seule brique de code ne suffit pas; il convient de décomposer les tâches jusqu’à l’unité d’action la plus petite possible, afin de permettre à l’IA de répondre systématiquement par des réponses « Oui » ou « Non », étape à partir de laquelle l’automatisation devient possible

Le Secure by design chez Chaintrust

Nos utilisateurs ont eu affaire à des cas de fraude qui se dissimulaient derrière des “erreurs techniques”. Souvent, il s’agissait d’arrondis de TVA mal calculés, toujours à l’avantage de certains tiers, ou de numérotations de factures inconsistantes avec les précédentes.

C’est pourquoi nous avons développé plusieurs algorithmes qui interviennent à tous les niveaux du traitement : extraction des données, affectation dans les comptes, rapprochement avec les lignes bancaires… Nous vérifions de nombreuses variables à chaque étape, notamment avec des comparateurs de données sur toutes les entreprises d’un même secteur. Ces éléments sont complexes à vérifier à la main, mais une machine peut facilement comparer des centaines de milliers de lignes en quelques dixièmes de secondes.

En synthèse, la culture de l’audit interne s’est développée dans le monde de l’édition de logiciels informatiques. Les outils dotées d’une intelligence artificielle s’efforcent d’éduquer la machine à garantir l’intégrité des données ou du service généré. L’objectif est de prévenir les fraudes, les anomalies techniques ou les erreurs métier et d’empêcher leur survenance.