Comment gérer le risque de non-compliance à l’èrede la transformationdigitale ?

Étude mondiale 2018 sur l’analyse forensic de données

Conduite auprès de 745 entreprises dans 19 pays,l’étude EY « Comment gérer le risque de non-compliance à l’ère de la transformation digitale ? » évalue le niveau de maturité des entreprises en matière d’analyse forensic de données.

91% Improved riskassessments

91% Improved riskassessments

91% Improved riskassessments

91% Improved riskassessments

91% Improved riskassessments

91% Improved riskassessments

91% Improved riskassessments

88% Meilleure évaluation desrisques

87% Capacité à détecter les risques à travers de larges ensembles de données

81% Résultats plus rapides lors d’investigations

80% Actions correctives plus rapides et plus pertinentes

79% Réponse aux attentes des régulateurs

74% Meilleure transparence del’activité

55% Réduction du coût des programmes de gestion des risques

Q : Quels sont, selon vous, les principaux avantages du recours à l’analyse forensic de données ?

Les principaux avantages de la « Forensic Data Analytics » (FDA)

La notion d’analyse forensic de données(« Forensic Data Analytics », ci-après FDA) se réfère à la capacité de collecte et d’utilisation desdonnées, à la fois structurées (ex. écritures comptables, données transactionnelles) et non structurées (ex. email, messages vocaux ou tout autre champ de description ou de commentaire enregistré dans un système d’information) afin de prévenir, détecter, surveiller ou investiguer des transactions potentiellement frauduleux ou encore des faits ou comportements non éthiques.

La transformation digitale est un moteur de l’analyse forensic de données qui permetde couvrir plus efficacement les risques1

La transformation digitale crée de nouvelles opportunités en matière de FDA (Forensic Data Analytics, dite analyse forensic de données) en même temps qu’elle s’accompagne de nouveaux risques, en particulier en matière de sécurité des données et de mise en œuvre de réglementations sur la protection des données personnelles.

Dans l’ensemble, les répondants confirment que la FDA permet de couvrir non seulement ces nouveaux risques, mais également la fraude aux états financiers, la corruption, le blanchiment, ainsi que les attaques informatiques, qu’elles soient le fait d’attaquants internes ou externes à l’entreprise. Près d’un quart des personnes interrogées reconnaissent ainsi qu’il est utile d’y recourir pour se mettre en conformité avec le Règlement Général sur la Protection des Données (ci-après RGPD). Cet intérêt se traduit par un accroissement de 51 % des budgets annuels alloués à la FDA par rapport à 2016.

L’efficacité de la FDA dans la gestion des risques

Investigations internes (Base : 287) 31% 50% 11% 8%

Fraudes aux états financiers (Base : 210) 35% 42% 12% 11%

Blanchiment (Base : 229) 27% 49% 10% 14%

Compliance en termes de sécuritédes données 24% 49% 13% 14%et de protection des données (Base : 582)

Cyberattaques et menaces internes (Base: 558) 25% 47% 16% 12%

Corruption (Base : 325) 28% 41% 16% 15%

Fraude externe et criminalité financière (Base: 325) 19% 47% 17% 17%

Evolutions règlementaires (Base : 393) 19% 47% 16% 18%

Régulations sectorielles (Base: 400) 21% 42% 15% 22%

Due diligence des tiers (Base : 327) 19% 40% 22%

Risques de projets capital (Base : 266) 21% 38% 22%

Projets d'investissements (Base: 233) 18% 39% 16% 27%

Contentieux (Base : 239) 16% 40% 19% 25%

Antitrust et comportement anticoncurrentiel (Base : 192) 17% 34% 25% 24%

Très efficace Assez efficace Inefficace FDA nonutilisé

Q : Pour quels risques utilisez-vous l’analyse forensic de données, et quelle est son efficacité?

3

19%

19%

L’utilisationdes technologies avancées se développe, mais les compétencesnécessaires ne sont pas toujours disponibles2

Environ14 % prévoient également la mise en œuvre d’outils de robotisation de processus et d’intelligence artificielle pour améliorer lesefforts en matière de conformité.

Si une amélioration de la capacité des entreprises à traiter les données peut être notée, que celles-ci soient structurées (comme lesdonnées financières par exemple) ou non structurées (emails, etc.), il apparaît que le croisement et l’accès à des données provenant

de différentes sources reste un défi pour33 % des répondants. Optimiser le potentiel des technologies du FDA requiert des équipes

multidisciplinaires ayant des compétences techniques et opérationnelles en FDA. Or, seul 12 % à13 % du panel considère possédercette combinaison d’expertises.

Feuilles de calcul et bases de données relationnelles

Entrepôts dedonnées

Outils conçus en interne

Visualisation etreporting 12% 54%

Contrôlecontinu 29%

Suivi des alertes de sécurité et gestion d’incidents

Analyse statistique et analyse de données 11% 18% 42%

Veille internet et réseaux sociaux%

Analyseforensic

Robotisation de processus (RPA)

Reconnaissance et analyse vocale

90%

2014 2016 2018

Q: Quels outils/technologies utilisez-vous pour gérer vos risques juridiques, de fraude et de compliance?

Les entreprises utilisent de plus en plus des technologies avancées pour gérer leurs risques juridiques, de fraude ou de compliance.En 2018, elles sont 54 % à utiliser un outil de visualisation des données, contre 12 % en 2014. Et si 29 % d’entre elles utilisaient un outilde contrôle continu en 2014, elles sont désormais près de 46 % à l’avoir effectivement mis en place en 2018. Enfin, la veille web etmédias sociaux existe aujourd’hui dans 40 % des entreprises interrogées, contre 21 % en 2014.

Les outils et technologies au service de la gestion des risques juridiques et de compliance

4

63%

55%

54%25%12%

46%29%

43%

8%

14%

33%

40%25%21%

Les entreprises sont aujourd’hui confrontées au défi de se mettre en conformité avec le Règlement Général sur la Protection des Données (dit RGPD), dont l’entrée en vigueur est effective depuis mai 2018. Ce Règlement complexe s’applique à l’ensembledes activités mondiales de l’entreprise et prévoit des sanctions financières significatives.

Selon l’étude, seules33 %des entreprises ont déployé un tel

programme et39 %des répondants indiquent ne pas être au

fait de ce règlement. Sans surprise, les Européens sont les plus

impliqués en la matière : 60 % des répondants de cette région du monde indiquent avoir déployé un dispositif de compliance dédié

(50% en France). En Chine et aux Etats-Unis, ce pourcentage est

bien plus bas : il ne s’élève respectivement qu’à 10 % et 32 %.

42 % des répondants sont convaincus que RGPD aura un impactimportant sur l’utilisation de la FDA. La mise en œuvre des outils et techniques d’analyse de données constitue un atout précieux, notamment pour localiser les données, identifier les personnes qui y ont accès, comprendre la façon dont elles sont utiliséeset protégées, et être en mesure de faire face à une intrusion

informatique. La FDA permet aussi de relier et comprendre le

contenu des données localisées dans des systèmes / bases de

données diverses qui ne sont pas toujours connectées les unes aux

autres. En matière de compliance RGPD, les efforts sont cependant

encore insuffisants. Selon l’étude, seuls13%des répondants

affirment avoir déployé des outils spécifiques de suivi et de reporting permettant de répondre aux exigences de conformité et

52 % des répondants affirment analyser l’utilisation d’outils FDA

pour leur conformité RGPD.

Leur rôle est également crucial pour détecter les comportements non éthiques y compris les risques de fraude. Ils contribuent à la réalisation d’investigations dans le respect des obligations en matière de gestion des données personnelles et permettent de réduire les coûts liés au déploiement du programme de compliance.

Bien que 57 % des conseils d’administration se soient saisis des sujets stratégiques liés à la FDA ("Forensic Data Analytics"), 45 %des répondants indiquent qu’il est nécessaire que le management renforce sa connaissance des atouts de cette approche.

Au sein de l’entreprise, la collaboration transverse nécessaire à l’implémentation du FDA - entre différents départements et à différents

niveaux - reste un enjeu pour plus de50 % des répondants.

Par ailleurs 22 % des répondants estiment que les départements qui traitent de la gestion du risque sont compartimentés et ne collaborent

pas en matière de FDA. Les efforts sont donc dispersés et39 % des répondants n’ont pas de spécialistes dusujet.

L’intégration et la gouvernance de l’analyse forensic de données doivent être faites au plus haut niveau pour obtenir un résultat efficace

En matière de conformité, la protection et la gestion des données personnellespeuvent largement bénéficier de l’analyseforensic dedonnées

3

4

Règlement Général sur la Protection des Données (RGPD)

il s’applique à toutes les entreprises et à toutes leurs activités avec portée extra-territoriale. Il impose la confidentialité « par défaut » et « par design » et une notification dans les 72 heures en cas de fuite de données. Les entreprises contrevenantes s’exposent à une amende de 4 % de leur chiffre d’affaires,pour un minimum de 20 M€. Le réglement est applicable depuis mai 2018.

5

Au-delà d’une meilleure gestion des risques, l’analyse forensic de données permet d’apporter de la transparence dans la gestion desopérations. Cette démarche requiert le déploiement de technologies et d’équipes aux compétences adéquates, ainsi qu’une intégrationforte.

La mise en œuvre systématique de cette approche permet de prévenir les incidents et de limiter leur gravité, tout en réduisant les coûts d’investigation. Cette approche participe aussi d’un meilleur contrôle interne des états financiers et d’une optimisation du suivi de la conformité de façon plus large. Des bénéfices qui ne sont pas à négliger dans un contexte où les régulateurs recherchent de plus en plus à analyser les moyens de contrôles de conformité déployés, au-delà de la revue des programmes et procédures existants.

Les acteurs concernés par la gestion des risques de non compliance et ayant recours aux outils d’analyse forensic de données sont trèsdivers. Une insuffisante collaboration entre eux constitue une entrave à leur développement. Mettre en place une gouvernance de l'analyse forensic des données au sein de l’organisation est donc primordial si l’objectif de l’entreprise est d’atteindre les meilleurs résultats possibles en matière de gestion des risques de non compliance.

Utiliser le potentiel de la FDA au service de la transformation de la fonction Risque5

• Créer, revoir ou améliorer votre programme d’intégrité et de compliance (fraude, corruption, anti-trust, LCB/FT, OFAC, cyber,RGPD, etc.).

• Auditer l’efficacité du programme de compliance au regard des exigences anti-corruption (Sapin 2, « Foreign Corrupt Practices Act »,« UK Bribery Act »), OFAC, anti-fraude etc., des régulateurs. Réaliser des revues à blanc, des tests de robustesse et d’efficacité.

• En matière de fraude et de corruption spécifiquement :

• Extraire et analyser les données et les preuves électroniques lorsqu’une fraude ou irrégularité est suspectée ou avérée, tout enrespectant les procédures légales requises.

• Répondre aux demandes des autorités et des régulateurs en matière de données et preuves numériques.

• Prévenir et détecter proactivement certains risques de non-conformité y compris :

• Tester la robustesse du contrôle interne et la correcte application des procédures grâce à l’analyse de données.

• Identifier les schémas potentiels et les indicateurs de fraude et de corruption grâce à l’utilisation d’outils et de techniques d’analysede données sophistiquées et automatisées (analyse des réseaux, modèles prédictifs, etc.).

• Déployer des outils de contrôle interne et de conformité (ex. systèmes de revue des tiers dans le cadre du KYC bancaire ou de la loiSapin 2).

• Déployer et animer une structure complète de réponse aux incidents suite à une compromission suspectée ou avérée sur un systèmed’information, puis en reprendre durablement le contrôle.

• Réaliser un inventaire exhaustif des données personnelles stockées et manipulées au sein de l’entreprise. Produire une cartographiedes flux de données, dans le cadre d’une mise en conformité RGPD (Data Discovery & Data Mapping).

Notre accompagnement à vos côtés

6

EY | Audit | Conseil | Fiscalité & Droit |Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients.

Retrouvez plus d’informations sur notre organisationsurwww.ey.com.

© 2018 Ernst & Young Tous droits réservés.

Studio EY France —1805SG308© Photos : GettyImages

Document imprimé conformément à l’engagement d’EY de réduire

son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vosconseillers.

ey.com/fr

Contact

Philippe HontarrèdeAssocié, Leader FranceAssocié, FIDS Ernst & Young etAssociés philippe.hontarrede@fr.ey.Tél.: +33 146 93 62 10