Arbutus Analyzer : EuroCACS, SQL – Arbutus Analyzer

Un débat clé lors de l’EuroCACS

La conférence EuroCACS 2017 a été l’occasion d’échanger sur les différents outils proposés aux auditeurs pour les accompagner dans leurs missions d’analyse et de vérification des données informatiques.

Les discussions ont notamment porté sur la comparaison entre SQL, un langage standard pour l’interrogation de bases de données, et Arbutus Analyzer, un outil dédié à l’analyse et à l’audit des données.

SQL ou Arbutus Analyzer ?

SQL est un langage standardisé par l’American National Standards Institute (ANSI). Cependant, chaque système de gestion de bases de données (SGBD) propose sa propre version du langage, entraînant des incompatibilités entre MS SQL, Oracle, DB2, PostgreSQL et autres.

Par exemple, les différences peuvent concerner :

• La syntaxe des dates et heures
• Les méthodes de concaténation de chaînes de caractères
• La gestion des valeurs NULL
• La sensibilité à la casse dans les comparaisons de texte

Ces variations entraînent des difficultés de compatibilité et nécessitent souvent une réécriture complète des scripts SQL lors d’un changement de base de données.

Sécurité et intégrité des données

Un problème majeur avec SQL réside dans le fait qu’il permet non seulement la lecture, mais aussi la modification et la suppression des données. Une simple erreur dans un script peut entraîner des pertes irrémédiables.

A contrario, Arbutus Analyzer garantit la sécurité des données en n’autorisant que la lecture. Les informations sont stockées dans un format interne, permettant :

• • • • De manipuler les données sans risque
      • D’ajouter des colonnes calculées
      • De croiser différentes sources
      • D’extraire des éléments sans impacter les fichiers d’origine

Scripts et réutilisation des analyses

Les auditeurs passent beaucoup de temps à écrire des scripts d’extraction et d’analyse. Cependant, leur réutilisation est limitée avec SQL car :

• • • • Les bases de données diffèrent en termes de structure et de types de données
      • Les noms des colonnes et des tables changent selon les systèmes
      • Les entreprises peuvent modifier leurs environnements IT

Arbutus Analyzer surmonte ces obstacles en offrant des scripts réutilisables indépendamment des sources de données (ODBC, SAP, CSV, TSV, COBOL…).

Grâce à une interface conviviale, l’auditeur peut sélectionner dynamiquement les colonnes pertinentes, sans devoir modifier le script.

Traçabilité et collaboration

Un autre défi des analyses SQL réside dans le suivi des traitements effectués. SQL ne fournit pas nativement de journalisation, rendant difficile le partage et la validation des analyses.

Arbutus Analyzer enregistre automatiquement chaque action dans un fichier log, incluant :

• • • • Les requêtes et transformations appliquées
      • Les résultats des analyses
      • Des rapports détaillés

Ces logs peuvent être exportés au format HTML, facilitant le partage et la documentation entre collaborateurs.

Le Fuzzy Matching : un atout d’Arbutus Analyzer

Le Fuzzy Matching est une technique essentielle en audit et en détection de fraudes. Elle permet d’identifier des chaînes de caractères similaires malgré de légères différences (exemple : « Société ABC » et « Sté ABC »).

Alors que certains moteurs SQL proposent des solutions basiques comme Soundex, leur implémentation reste variable et limitée selon les bases de données.

Arbutus Analyzer intègre des outils avancés comme :

• • • • La fonction NORMALIZE pour uniformiser les données
      • La fonction NEAR pour rechercher des correspondances approximatives
      • Des algorithmes avancés pour des jointures floues précises

Conclusion

Si SQL est un outil puissant pour manipuler les bases de données, il présente plusieurs limitations pour l’analyse de données en audit :

• • • • Compatibilité limitée entre différentes bases
      • Risques élevés liés aux modifications de données
      • Scripts difficilement réutilisables et nécessitant des ajustements constants
      • Absence de traçabilité des traitements effectués
      • Fonctionnalités de fuzzy matching limitées

Si le choix d’utiliser SQL (Structured Query Language) comme alternative à un logiciel de CAAT peut sembler intéressant lorsque les données à analyser sont issues d’un seul système de base de données, il faudra bien souvent constater que la mise en place d’une solution d’analyse basée sur SQL ne répondra finalement pas totalement au cahier des charges initial et s’avérera difficile à faire évoluer dans le temps, a fortiori en cas de changement du système de base de données utilisé par l’entreprise ou lors du départ de certains collaborateurs de son service informatique.

En complément, certains points importants comme l’accès aux données source en lecture seule, l’utilisation de données hétérogènes pour les analyses, le développement et l’utilisation de scripts réutilisables quels que soient le format des données, le suivi et la traçabilité des différentes opérations d’audit réalisées dans des fichiers log, le partage des données d’audit entre collaborateurs, l’utilisation de fonctions spécifiques comme le « fuzzy-matching » ne sont pas disponibles dans les bases SQL.

L’utilisation d’un logiciel de CAAT comme Arbutus Analyzer s’avérera bien souvent un choix pertinent pour assister l’auditeur dans sa mission et lui permettre d’effectuer rapidement ses analyses.

Arbutus Analyzer s’impose comme une alternative robuste, sécurisée et adaptée aux besoins des auditeurs. Grâce à son interface intuitive, ses scripts réutilisables et ses capacités avancées, il permet d’optimiser les analyses tout en garantissant la traçabilité et la fiabilité des données.