GRC et data analytique : vers une gouvernance augmentée du risque

Quand la GRC rencontre la data analytique

Les fonctions d'audit interne, de contrôle interne et de gestion des risques ont considérablement structuré leurs pratiques ces dix dernières années. Cartographies des risques, programmes de contrôle interne, reporting aux comités d'audit : les dispositifs GRC (Governance, Risk & Compliance) ont posé des fondations solides. La question qui se pose aujourd'hui n'est pas de remettre en cause cet acquis, mais de l'enrichir.

Les approches déclaratives qui constituent l'ossature de la GRC ont une limite structurelle : elles s'appuient sur ce que les opérationnels rapportent, pas sur ce que les transactions révèlent. Des questionnaires d'auto-évaluation, des contrôles réalisés sur échantillons, des appréciations de risques portées sur la base de la connaissance subjective du périmètre. Le résultat peut être vert en surface et rouge dès qu'on creuse.

« Dans mon ancienne vie d’auditeur, c'est ce qu'on appelait le point “pastèque” : un jalon validé en apparence (vert), mais dont le contenu révèle des anomalies non détectées ou non révélées (rouge). »

— Franck-Yves Inglebert, CEO Eye2Scan

Ce paradoxe est une limite structurelle de l'approche qualitative, que la data analytique peut précisément combler.

Les limites de la GRC traditionnelle : pourquoi le modèle déclaratif ne suffit plus

Un outil de GRC bien configuré offre un cadre de pilotage indispensable : cartographie des risques, plans de contrôle, suivi des incidents, génération de rapports. Il organise la gouvernance, formalise les responsabilités et assure le reporting vers les Directions. Ce cadre donne aux équipes un langage commun et une structure à l'échelle de l'organisation.

Mais cet outil est, par nature, « semi-aveugle » s'il reste purement déclaratif. Il s'appuie sur ce que les acteurs saisissent dans des formulaires et sur des appréciations de risques fondées sur une connaissance subjective du périmètre. Sans vérification automatisée, l'outil GRC structure le pilotage et la réflexion, mais s’appuie trop peu sur la donnée réelle.

À l'inverse, une solution de data analytique sans cadre GRC générera des alertes sans qu’un lien ne soit forcément établi avec la stratégie globale de gestion du risque. C'est précisément là que réside l'intérêt de combiner les deux. La GRC apporte la structure et la priorisation par les risques. La data analytique apporte des preuves factuelles. Ensemble, elles permettent de passer d'une appréciation déclarative du risque à une mesure quantitative et continue.

Trois limites de l'approche purement déclarative

1. Les opérationnels auto-évaluent leur propre risque : le biais déclaratif est structurel.
2. L’approche étant chronophage, les contrôles sont réalisés de manière épisodique : des anomalies peuvent persister entre deux cycles d'audit sans jamais être détectées.
3. La cartographie des risques s'appuie sur la perception que les responsables ont de leur propre exposition : elle mesure le risque tel qu'il est déclaré, pas tel qu'il se manifeste dans les transactions.

L'apport de la data analytique dans la gestion des risques

La data analytique appliquée aux flux ERP alimente la GRC en signaux objectifs. Cela permet d'analyser 100 % des flux (P2P, O2C, stocks, SoD) plutôt que de simples échantillons.

Un apport souvent sous-estimé est la capacité à faire le lien entre risque brut et risque net. La GRC évalue des risques par criticité et probabilité, puis les pondère par l'efficacité supposée des contrôles en place pour obtenir un risque net. La data analytique vient tester cette hypothèse dans les faits : si un contrôle est censé couvrir un risque, les résultats de contrôle continu permettent de vérifier qu'il fonctionne réellement, et d'ajuster le risque net en conséquence. C'est le passage d'une appréciation déclarative du risque net à une mesure objective.

La valeur de cette approche est aussi d'unifier des fonctions qui travaillent souvent en silos. Audit interne, contrôle interne, conformité, risk management, directions opérationnelles : Eye2Scan leur donne un langage commun autour de la donnée, à partir duquel chaque fonction peut travailler selon son propre cadre tout en partageant une base d'information cohérente.

Cette logique transforme la posture des équipes. On ne passe pas en mode préventif au sens strict, mais on réduit considérablement le délai de détection : là où une anomalie pouvait rester invisible pendant des mois, jusqu'à la prochaine mission d'audit ou campagne de contrôle, le contrôle continu la remonte en jours ou en semaines, au plus près du moment où elle s'est produite. On peut ainsi parler d'audit continu et de contrôle continu automatisé.

« L'ERP ne peut pas être juge et partie. Un acteur interne un peu malin finit toujours par comprendre les failles du système, comme les limites de la séparation des tâches. Il peut alors détourner de petites sommes pendant des années sans jamais déclencher d'alerte native. Pour garantir une vraie gouvernance au Comex, il est indispensable d'avoir un système indépendant de l'ERP qui remonte ces incohérences de manière objective. »

— Pascal Gadea, Directeur Commercial, CoAudit Group

Eye2Scan × Sentinelys : un pilotage par les risques et une gouvernance augmentée par la donnée

La complémentarité entre ces deux solutions repose sur une répartition claire des rôles pour une efficacité décuplée :

• Sentinelys structure la gouvernance : CoAudit Group propose un véritable cockpit « no-code », la solution agrège les signaux pour piloter l’organisation. Elle centralise la cartographie des risques, orchestre les campagnes de contrôle, assure le suivi rigoureux des recommandations et automatise le reporting vers les comités de direction.
• Eye2Scan alimente le cockpit : la solution exécute en continu des contrôles comptables et opérationnels directement sur l'ERP, en parfaite cohérence avec la cartographie des risques. Chaque anomalie est remontée avec son contexte complet (utilisateur, date, montant), sans que l'auditeur n'ait besoin de se connecter à l'ERP. Ces données génèrent ensuite des KRI (Key Risk Indicators) dynamiques qui réévaluent automatiquement la cartographie dans Sentinelys. 

La combinaison des deux crée une gouvernance augmentée : une GRC ancrée dans les transactions réelles, et une data analytique dont les résultats s'inscrivent directement dans le pilotage des risques.

Un flux de données structuré autour des KRI

Concrètement, les résultats produits par Eye2Scan remontent vers Sentinelys sous forme de KRI (Key Risk Indicators) pour chaque contrôle / risque. Ces indicateurs de risque clés permettent aux équipes de piloter leur exposition en temps quasi réel, sans attendre un rapport périodique. L'utilisateur qui veut comprendre un KRI dégradé bascule vers Eye2Scan pour accéder au détail transactionnel, sans se connecter à l'ERP, sans solliciter une équipe IT.

Cas concret : de l'alerte à l'action

Les départements pilotant les risques consultent Sentinelys et constatent qu'un KRI passe au rouge sur le périmètre achats de l'entité espagnole. Il accède au détail : 12 incidents signalés par Eye2Scan lors des validations des commandes P2P. En un clic, il bascule dans Eye2Scan pour voir les transactions concernées, identifie un schéma récurrent (commandes validées et réceptionnées par le même utilisateur en violation de la SOD), et déclenche un plan d'action directement depuis Sentinelys.

Ce parcours offre une fluidité opérationnelle : un KRI dégradé est identifié dans Sentinelys, la cause racine est analysée en profondeur dans Eye2Scan, puis le plan d'action est généré et intégré au rapport d’audit final via Sentinelys.

Audit et contrôle interne : les bénéfices d’une gouvernance augmentée par la data

Pour les équipes d'audit interne : agilité et indépendance

• Réduction du temps de préparation de mission et autonomie : aucune demande d’extraction ou de connexion aux données, les contrôles de base ont déjà tourné, les anomalies significatives sont identifiées avant même le démarrage du travail de terrain.
• Élargissement du périmètre couvert : Là où une mission classique repose sur des sondages aléatoires, l'analyse Eye2Scan couvre 100 % des transactions du périmètre audité. L'audit devient continu et non plus ponctuel.
• Objectivité des recommandations : fondés sur des données réelles, les constats ne sont plus sujets à interprétation et amènent une vraie crédibilité face aux opérations.
• Reporting enrichi vers les comités d'audit : Les résultats d'audit alimentent directement les tableaux de bord GRC de Sentinelys, offrant une vision consolidée de l'avancement des recommandations au niveau du groupe.

Pour les équipes de contrôle interne : conformité by design

• Calcul dynamique du risque net : Confrontation en continu entre la cartographie et la réalité.
• Décentralisation de la remédiation : Grâce aux workflows automatisés, les anomalies détectées par Eye2Scan sont transmises directement aux Process Owners. Ils justifient ou corrigent les écarts en autonomie, libérant les équipes de contrôle des tâches de suivi chronophages.
• Culture de conformité « by design » : La traçabilité native et continue des contrôles simplifie radicalement les exercices de conformité réglementaire (Sapin 2, SOX, AFA), en fournissant un dossier de preuves robuste et toujours à jour.

Pour la direction financière et la gestion des risques : sérénité et ROI

• Le concept du « Sleepwell » : La certitude que les flux sont surveillés en continu et que les incidents significatifs sont identifiés avant qu'ils ne deviennent des crises majeures.
• Vision quantitative du risque opérationnel : La cartographie des risques n'est plus un document statique mis à jour annuellement, mais un outil de pilotage alimenté par des indicateurs de risque (KRI) quantitatifs et actualisés.

Accessibilité métier et souveraineté des données : un prérequis stratégique

L’alliance Eye2Scan et Sentinelys se distingue par deux piliers fondamentaux :

1- Une accessibilité pensée pour les métiers du risque

Eye2Scan est conçue pour des équipes d'audit et de contrôle interne, pas pour des spécialistes ERP ou des data scientists. La connexion à l'ERP est prise en charge par les équipes Eye2Scan, les contrôles sont préconfigurés et activables sans développement, et les résultats sont restitués dans une interface lisible par un auditeur ou un contrôleur interne, pas par un technicien.

Sentinelys adopte la même logique côté GRC : prise en main rapide, configuration no-code, et couverture fonctionnelle qui va de la cartographie des risques à la gestion des campagnes d'audit et de contrôle interne.

Les deux solutions partagent ce parti pris : la technologie doit servir les professionnels du risque, pas les contraindre.

2- Une souveraineté des données et une sécurité sans compromis

Eye2Scan analyse des informations particulièrement sensibles extraites de l'ERP : prix d'achat, prix de vente, stocks, données de production. C'est pourquoi l'intégralité des clients Eye2Scan travaille en déploiement on-premise ou en cloud privé : les données ne quittent pas le périmètre de l'entreprise.

Sentinelys s'appuie pour sa partie SaaS sur Outscale, cloud souverain de Dassault Systèmes, dont les infrastructures sont certifiées et hébergées en France.

Les échanges entre les deux plateformes s'effectuent via API sécurisée, et seules des données agrégées transitent de Eye2Scan vers Sentinelys : taux d'anomalie, KRI, statuts de contrôle. Le détail transactionnel reste dans l'environnement Eye2Scan, au sein du périmètre de l'entreprise. La gestion des accès est strictement contrôlée dans les deux solutions, avec des droits configurables par profil, par entité et par processus, de sorte que chaque utilisateur n'accède qu'aux données qui relèvent de son périmètre de responsabilité.

Une alliance au service de la conformité Sapin 2

Pour les directions d'audit interne et de contrôle interne, l’alliance entre Eye2Scan et CoAudit Group, l’éditeur de Sentinelys, répond à l’écart critique entre la perception du risque et sa réalité transactionnelle. Les organisations ne peuvent plus se contenter de ce que leurs équipes veulent bien rapporter ; elles doivent s'appuyer sur ce que leurs flux P2P, O2C et stocks révèlent au quotidien.

Ensemble, ces solutions couvrent les piliers d'un dispositif de conformité robuste, notamment au regard des exigences de la loi Sapin 2. Elles permettent de construire une cartographie des risques de corruption alimentée par des données réelles, d'assurer le contrôle continu des processus tiers et de garantir la traçabilité totale des alertes et des plans d'action exigée par l'AFA.

Que vous démarriez votre programme de contrôle interne ou que vous cherchiez à augmenter une GRC déjà structurée, cette combinaison offre un chemin concret et déployable de façon pragmatique, sans refonte globale du dispositif existant. C’est le passage d’une gouvernance passive à une gouvernance augmentée par la donnée, au service de la performance durable de l’entreprise.

Envie d’une gouvernance plus factuelle et sereine ?

Contactez nos experts pour échanger sur vos enjeux métier et découvrir comment l'alliance de CoAudit Group avec la plateforme Sentinelys et d'Eye2Scan peut réconcilier votre cartographie des risques avec votre réalité transactionnelle.