Article co-écrit avec Yoan Chazal, Associé RA, Benjamin Brecy, Senior Manager RA et Dylan Bergounhe, Consultant RA.

En 2016 déjà, nous évoquions la nécessité de redéfinir le rôle joué par l’audit interne au sein des organisations. Cette redéfinition est aujourd’hui plus nécessaire que jamais : pression réglementaire en matière de maîtrise des risques, responsabilisation croissante des dirigeants, intégration de nouveaux risques non-financiers dans les dispositifs de contrôle, démocratisation de nouvelles technologies… Ces mutations sans précédent imposent aux organisations de repenser le modèle d’organisation de leur fonction d’audit interne.

Cette refonte du modèle s’articule autour de trois axes prioritaires :
– Renforcer la vision prospective ;
– Intégrer les nouvelles technologies à la méthodologie d’audit interne ;
– Auditer les solutions de RPA et d’intelligence artificielle.

Renforcer la vision prospective

Classiquement, l’audit interne assure les parties prenantes que les normes et processus sont respectés et que les risques auxquels l’organisation est exposée sont maitrisés. Au-delà d’un rôle d’analyse, de reporting et de suivi des potentielles anomalies, qui demeure le cœur de la fonction, l’audit interne occupe un rôle de conseil et d’aide à la prise de décision.

L’audit interne accompagne par exemple les premières et deuxième lignes de défense dans la définition et la conception de leurs contrôles et émet des avis en temps-réel quant à ces derniers. Dès lors, l’audit interne ne constate plus à posteriori le caractère inadapté des contrôles mais s’assure, dès leur conception, que ceux-ci sont adéquats et de nature à atténuer les risques auxquels ils répondent. Ce rôle apporte une confiance importante aux parties prenantes internes quant à la bonne exécution de leurs processus et contrôles et est de nature à réduire les coûts, financiers et réputationnels, potentiellement engendrés par des contrôles inadaptés. Cet accompagnement de l’audit interne est également source de confiance pour les parties prenantes externes à l’organisation, investisseurs notamment, dont l’attention portée aux considérations extra-financières est croissante.

En s’appuyant sur ses fonctions d’assurance et de conseil, la fonction d’audit interne la plus aboutie apporte également une vision prospective(1) à l’organisation, offrant aux parties prenantes la possibilité de prendre conscience des risques à venir, de les intégrer dans leurs réflexions et de mettre en place les premiers éléments permettant de s’y confronter le cas échéant. Pour répondre à cet enjeu de développement d’une position préventive, deux leviers semblent intéressants. Comme le souligne l’IIA, « la valeur apportée par l’audit interne à une organisation est largement influencée par la façon dont [les organes de direction] conçoivent son champ d’action ».

Le premier levier est organisationnel et consiste à s’interroger sur la place occupée par l’audit interne. Il peut s’agir par exemple d’intégrer l’audit interne à certains comités permanents ou spéciaux tout en s’assurant que des précautions sont prises pour préserver l’indépendance et l’objectivité de la fonction.

Le second levier est d’ordre technologique et consiste à combiner la vision d’ensemble et l’accès aux données dont l’audit interne dispose avec des solutions de Risk sensing(2) . La combinaison de ces éléments permet à l’audit interne d’apporter toute sa valeur ajoutée en identifiant et hiérarchisant, dès les premiers signaux faibles et avant leur émergence, les potentiels risques auxquels l’organisation sera exposée.

Si les innovations technologiques peuvent permettre à l’audit interne de développer sa vision prospective et d’accroitre sa valeur ajoutée au sein de l’organisation, ces dernières sont également de nature à considérablement améliorer la qualité de l’exécution des missions et à en réduire la charge.

Intégrer les nouvelles technologies à la méthodologie d’audit interne

En France, entre 2016 et 2018, le volume de données gérées par les organisations a augmenté de 700%(3). Les institutions financières n’échappent pas à cette explosion du volume de données gérées, volume désormais susceptible de dépasser les capacités de contrôle des fonctions d’audit interne recourant à des méthodes par échantillonnage classiques. En effet, la définition d’un échantillon représentatif des données est d’autant plus difficile que ces dernières sont hétérogènes et représentent un volume jamais observé. Ces difficultés d’échantillonnage tendent à s’accroitre, le volume de données stockées étant susceptible d’être multiplié par 4 d’ici 2025(4).

L’enjeu pour l’audit interne est donc de taille : appréhender ces nouveaux volumes de données afin de continuer à apporter toute sa valeur ajoutée. Il s’agit de répondre à un impératif, mais aussi d’améliorer la qualité d’exécution des missions et d’en réduire la charge.

L’analytics constitue un premier levier important pour pallier les difficultés d’échantillonnage et renforcer la fonction d’assurance. Par exemple, dans le cas de la conduite de contrôles de cohérence et de complétude de dossiers, la méthode par échantillonnage consiste à procéder à une sélection représentative de la population étudiée puis à extrapoler les résultats de ces contrôles à l’ensemble de la population. Les résultats dépendent alors fortement de la qualité de l’échantillon sélectionné. Le recours à des technologies d’analytics permet de conduire lesdits contrôles sur l’ensemble de la population, renforçant ainsi la précision et « l’interprétabilité » des résultats, qui ne sont dès lors plus dépendants de l’échantillon initial.

Certaines solutions d’intelligence artificielle constituent un second levier important. Celles-ci permettent par exemple d’identifier, d’extraire et d’analyser des clauses contractuelles sur des volumes quasi-illimités. Combinées à des outils de RPA, ces solutions permettent de conduire des contrôles permanents et systématiques, aboutissant à une identification et un reporting des anomalies en temps réel. Ce renforcement des premières et secondes lignes de défense sert l’audit interne dans sa capacité à exécuter son plan d’audit sur les zones les plus à risque.

Il est difficile de prévoir dans quelle mesure ces innovations technologiques vont bouleverser la fonction d’audit interne. La clé pour les organisations réside à ce stade dans leur capacité à en suivre les développements et à les comprendre, afin d’être en mesure d’en tirer le meilleur parti. Comprendre les solutions technologiques permet également de les auditer.

Auditer les solutions de RPA et d’intelligence artificielle

Le développement des solutions d’intelligence artificielle est une considération importante pour l’ACPR et la Commission Européenne qui multiplient les initiatives et les communications sur le sujet. La Commission Européenne a notamment publié en avril 2019 un document présentant les grands principes à respecter pour assurer le développement d’une intelligence artificielle « fiable »(5). L’un de ces principes fait référence à « l’auditabilité » des solutions. Plus précisément, il s’agit d’assurer l’auditabilité des algorithmes, des données et des processus que celles-ci utilisent.

Ce principe se comprend aisément : il vise à permettre à l’audit interne d’inclure ces solutions dans son évaluation des risques, et d’assurer l’organisation que les risques inhérents à ces solutions sont identifiés et maitrisés. Ces risques sont explicités par l’IIA(6), qui mentionne notamment le risque d’erreur et de biais humains.

L’audit des solutions de RPA n’est pas de nature à générer de difficulté spécifique, s’agissant d’une automatisation de tâches sans prise de décision ou de caractère « apprenant ». En revanche, des difficultés peuvent apparaitre en raison de la technicité et de la nature même des solutions d’intelligence artificielle. Ces dernières traitent en effet des volumes de données non-appréhendables par un être humain et se distinguent de la RPA en ce qu’elles sont développées pour « apprendre » et faire évoluer leurs capacités au fil du temps.

L’enjeu pour l’audit interne apparait alors : il s’agit d’être en mesure de décoder, vérifier et tracer l’ensemble du processus de décision de la solution afin de s’assurer que les algorithmes sont toujours compréhensibles, « performants » et « exacts »(7). Plusieurs leviers, d’ordre humain et organisationnel, permettent de répondre à cet enjeu.

Le premier levier consiste à définir un programme de formation des auditeurs internes adapté à l’organisation. Les organisations les plus avancées ont besoin d’auditeurs solidement formés aux codes informatiques par exemple tandis que d’autres, moins matures ou moins outillées, pourront se limiter à des formations plus généralistes.

En cas de besoin ponctuel ou limité, le deuxième levier consiste pour l’audit interne à s’appuyer sur des ressources externes à la fonction disposant de compétences techniques recherchées, dans le cadre de programmes de « Guest Auditors » par exemple. Ces ressources peuvent être internes ou externes à l’organisation.

Le troisième levier consiste à recruter, au sein de l’équipe d’audit interne, des profils technologiques et scientifiques experts en la matière. Les synergies créées par l’intégration de ce type de profils à la fonction d’audit interne peuvent s’avérer particulièrement intéressantes, tant au niveau des missions de contrôle que d’accompagnement et de prévention.

Finalement, il est pertinent d’intégrer l’audit interne en amont, dès le lancement des projets liés à l’intelligence artificielle. La fonction peut dès lors s’assurer de l’auditabilité des solutions et faciliter sa compréhension des processus de décision. L’organisation peut, quant à elle, bénéficier des conseils et de la vision prospective de l’audit interne, qui s’avèrent précieux dans l’évaluation des effets positifs ou négatifs des développements technologiques envisagés.

 

(1) The Institute of Internal Auditors, Prise de position : Le rôle de l’audit interne au sein des organes de gouvernance/des comités exécutifs, décembre 2019
(2) Pour davantage d’information concernant ces solutions : https://www2.deloitte.com/global/en/pages/risk/solutions/risk-sensing.html
(3) D’après les résultats de la troisième édition de l’étude « Global Data Protection Index » de Dell EMC, mars 2019
(4) D’après les estimations de l’étude « Data Age 2020 : The evolution of Data to Life-Critical » de l’IDC.

(5) Voir https://ec.europa.eu/futurium/en/ai-alliance-consultation – « Ethics Guidelines for Trustworthy AI »

(6) The Institute of Internal Auditors, Perspectives internationales : Intelligence artificielle – Considérations pour la profession d’audit interne
(7) Idem