Tendances de risque en 2024 et par la suite : Analyse des données et surveillance en continu

Avez-vous l’impression que la concurrence dispose de meilleures informations?

L’évolution rapide des plateformes et des outils infonuagiques a entraîné une montée en flèche du recours à l’analytique au cours des 10 dernières années. On observe également une augmentation appréciable de la quantité et du nombre de sources de données attribuables à la numérisation des processus commerciaux et à l’accessibilité croissante des capteurs connectés et des jumeaux numériques (simulations informatiques complexes d’infrastructures physiques souvent utilisées pour des tests et des analyses).

L’analytique peut s’avérer inestimable pour les audits internes par sa contribution à la prise de décisions, à la surveillance des mesures de performance et des cibles essentielles, à la détection des risques de fraude, et plus encore. L’analyse de données peut jeter les bases d’un modèle d’affaires, car elle permet de prévoir la demande des consommateurs, de cibler les efforts publicitaires, de simplifier la logistique et les chaînes d’approvisionnement, et d’optimiser les coûts dans chaque maillon de la chaîne de valeur.

Les occasions de taille et les risques importants vont main dans la main. On doit composer à la fois avec les dangers d’une progression trop lente de ses capacités d’analyse et ceux d’une progression trop rapide. D’une part, une organisation qui ne fait pas de l’analytique une priorité verra ses concurrents dégager une croissance supérieure et entamer sa part de marché à court ou moyen terme. D’autre part, une organisation qui veut gagner la course aux analyses de qualité peut brûler certaines étapes importantes sur les plans de l’approvisionnement, de la gouvernance et de la stratégie. Tirer les mauvaises conclusions de ses données peut être encore plus néfaste que ne pas en tirer du tout.

En 2023, l’analytique est devenue le nerf de la guerre. Toutefois, l’intégrité des données et la qualité des conclusions tirées doivent être les forces qui guident son évolution. À cet effet, on doit en premier lieu doter les conseils d’administration et les responsables de l’exploitation, y compris les responsables de l’audit interne, d’une expertise en analytique. Deuxièmement, on doit évaluer la qualité des données existantes de même que les politiques et procédures mises en œuvre pour l’assurer. Troisièmement, on doit penser (ou repenser) la mise en place du programme d’analytique et obtenir l’adhésion de la direction.

Questions importantes à vous poser

• À quand remonte la dernière vérification de l’intégrité de vos données? Est-ce qu’il y a eu des changements qui pourraient avoir une incidence sur celle-ci?
• Obtenez-vous une importante quantité de vos données auprès de tiers (p. ex., données ESG)? Êtes‑vous convaincu de l’intégrité de ces données?
• Avez-vous la certitude que vos analyses de données sont exactes, surtout celles utilisées pour tirer des conclusions importantes et prendre des décisions?
• Observez-vous une réduction de votre part de marché ou une augmentation du nombre de plaintes qui sont attribuables au fait que vos concurrents disposent de renseignements et d’analyses de meilleure qualité?

Signaux d’alerte

• Aucune formation sur la cybersécurité offerte au personnel
• Personnel encore nombreux à cliquer sur de faux liens d’hameçonnage proposés par un programme maison dans le cadre de tests de cybervigilance
• Aucune démarche mise de l’avant par l’équipe des TI pour obtenir une garantie sur les mesures de sécurité appliquées par le prestataire de services infonuagiques de l’organisation
• Aucun audit de cybersécurité mené par l’équipe d’audit interne depuis longtemps
• Balayage du Web clandestin ayant révélé que des pirates commentent votre organisation ou vendent les données qu’ils vous ont volées

Audits internes à considérer

Audit de la qualité des données
Il évalue la qualité, l’exhaustivité et l’exactitude des données utilisées dans le cadre d’analyses. Il vérifie la fiabilité des sources de données et le caractère adéquat de la collecte, du stockage et du traitement des données.

Audit de la gouvernance des données
Il se penche sur les pratiques, les politiques et les procédures de gestion des données d’une organisation pour vérifier que l’utilisation des données est sûre, éthique et conforme aux règlements applicables.

Audit de la confidentialité des données 
Il examine le respect par une organisation des lois et des règlements régissant la confidentialité des données. Il permet de vérifier que les données personnelles et sensibles sont gérées correctement et que des mécanismes de consentement appropriés sont en place.

Audit de la sécurité des données
Il évalue les mesures de sécurité mises en place par une organisation (contrôle des accès, cryptage, évaluation de la vulnérabilité, etc.) pour protéger les données contre les cyberattaques et les accès non autorisés.

Audit de l’analyse de données
Il évalue l’intégralité du processus d’analyse de données, y compris la cueillette, le prétraitement, l’analyse et la production de rapports. Il permet de vérifier l’exactitude et la fiabilité des méthodes et des modèles utilisés de même que leur pertinence compte tenu des objectifs de l’organisation.

Audit de validation de modèle
Il sert à des organisations qui utilisent des modèles et des algorithmes prédictifs pour la prise de décisions afin d’en contrôler l’exactitude et la fiabilité et de vérifier qu’ils produisent des résultats valides et exploitables.

Audit de la conservation et la destruction des données
Il évalue les politiques de conservation des données d’une organisation pour confirmer qu’elles respectent les règlements applicables et vérifie que les données dont on n’a plus besoin sont détruites correctement.

Audit de l’accès aux données
Il examine les accès et les permissions accordés aux utilisateurs des outils et des systèmes d’analyse de données. Il permet de vérifier l’application du principe de privilège minimal.

Audit de gestion des fournisseurs
Mené auprès d’organisations qui font appel à des services externes d’analyse de données, il évalue d’une part la gestion des données et les mesures de sécurité de ces fournisseurs et d’autre part leur respect des modalités contractuelles.

Audit de la conformité
Il évalue le respect par une organisation des lois, des règlements et des politiques internes régissant l’analyse de données, en ce qui a trait notamment à la protection des données, aux droits des consommateurs et aux lignes directrices sectorielles.

Audit de la représentation des données
Il analyse l’exactitude et la limpidité des représentations et des rapports tirés des données de même que le caractère intelligible et objectif des conclusions présentées.

Audit de la déontologie liée aux données
Il évalue le caractère éthique de l’utilisation des données par une organisation, y compris la transparence et l’impartialité de leur analyse.