A l’occasion de cette enquête, plus de 120 auditeurs d’entreprises différentes se sont exprimés, et nous avons aussi recueilli, les points de vue avisés de professionnels de l’audit ou encore d’éditeurs de solutions utilisant l’IA. Il ressort de ces différentes opinions, que l’IA représente un véritable game changer pour les auditeurs.
Pour 78 % d’entre eux, l’utilisation des outils de l’IA conduit à développer la notion d’audit en continu. Il est légitime de s’interroger sur l’impact du développement des outils d’audit en continu, notamment sur le modèle des trois lignes de défense et son éventuelle capacité à les faire évoluer.
Première ligne de défense :
La première ligne de défense est constituée par les équipes opérationnelles qui doivent mettre en œuvre un dispositif de contrôle adéquat sur les processus dont ils ont la responsabilité, afin d’évaluer et diminuer les risques.
Deuxième ligne de défense :
La deuxième ligne, se compose des différentes fonctions transversales, ainsi que des fonctions dédiées à l’animation du dispositif global de maîtrise des risques. Ce deuxième niveau doit permettre la structuration, le monitoring et la maintenance du dispositif de maîtrise des activités.
Troisième ligne de défense :
La troisième ligne de défense composée de la fonction d’audit interne a pour objectif de donner une assurance raisonnable aux instances de gouvernance, sur le niveau de maîtrise des activités.
Dans ce schéma, le développement de l’audit en continu vient répondre aux objectifs de la première ligne de défense sur la surveillance du processus et la réalisation des contrôles adéquats de premier niveau et ce de manière exhaustive. Il répond aussi aux objectifs de la ligne de défense qui dispose d’une vision exhaustive de la réalisation des contrôles de premier niveau et des résultats de ces derniers. Dans ce contexte, le rôle de la troisième ligne de défense, qui viendrait tester la correcte réalisation des contrôles, perd de son sens. L’audit en continu répondant déjà complètement à cette question.
Si le rôle de contrôle et de testing semble s’amoindrir, en revanche pour l’audit interne, challenger le design du contrôle interne, ses risques et son dispositif de maîtrise garde toute sa pertinence. A ce titre, il conviendra aussi qu'il intègre au périmètre de son intervention la revue du design de l’audit en continu et qu'elle ait la capacité d'auditer l’IA*.
Si les principes fondamentaux du modèle des trois lignes de défense ne semblent pas remis en cause, on assiste néanmoins à un glissement des tâches de contrôle vers les premières et deuxièmes lignes (et un renforcement de la capacité d’audit du design par l’audit interne).
*Grant Thornton est partenaire, membre fondateur du Cercle Dauphine Numérique dont un des axes de travail est l’auditabilité de l’intelligence artificielle.
Lire l’article précédent : “Les essentiels de l’IA pour l’audit interne : une fonction de plus en plus capitalistique”
