Article

L’impact de l’IA sur l’approche d’audit

Nicolas Gasnier Duparc
By:
Les essentiels de l’IA pour l’audit interne
Les essentiels de l’IA pour l’audit interne

En juin dernier, Grant Thornton et l’Université Dauphine PSL publiaient leur première étude sur la place de l’IA dans les processus d’audit : l’IA représente un véritable « game changer » pour les auditeurs, telle est la tendance de fond.

Pour 86% des répondants, elle permet de mieux identifier les risques, de mieux cibler les contrôles et les tests à réaliser (pour 88% des répondants) et pour 90% d'entre eux, de rendre plus efficace la phase de testing.

L’IA permet aussi de répondre à des attentes sociales voire sociétales des auditeurs pour d’une part, réaliser moins de tâches à faible valeur ajoutée et pouvoir se focaliser sur les principaux enjeux et d’autre part, pour limiter leur empreinte carbone, générée par les déplacements, à titre d'exemple.

Afin de bénéficier pleinement de l’utilisation de l’IA, il faut avoir conscience du changement de paradigme introduit par ces technologies. En effet, l’utilisation des possibilités de l’IA modifie assez fondamentalement la façon de penser l’approche d’audit.

De manière classique, l’approche d’audit se fonde sur une analyse des risques par l’auditeur. Afin d’objectiver celle-ci, il va conjuguer des interviews de découverte, une analyse documentaire et utiliser son expertise et son jugement critique. Sur cette base, il va identifier les principaux risques portant sur l'objet audité, puis, en fonction de ceux-ci, définir un plan d’audit accompagné de tests afin de s’assurer que les dispositifs de maîtrise de risques en place sont pertinents et efficaces.

La pertinence de cette approche repose sur la capacité de l’auditeur à correctement identifier les situations à risque pour l’entreprise. Si certaines situations ne sont pas identifiées, elles ne seront pas couvertes par le programme d’audit, l’auditeur ne sera pas en mesure de s’assurer de leur maîtrise et ne pourra pas alerter le management.

L’approche d’audit rendue possible par l’IA permet de compléter cette vision top down par une vision bottom up en partant des données. En effet, plutôt que d’imaginer les potentielles situations à risque, la puissance de calcul des outils permettent aujourd’hui, à partir de la volumétrie des transactions d’origine, de définir la « normalité » du process en termes de dates, heures, users, schémas comptables, devises, contreparties…. A partir de cette vision « normale », il devient aisé d’identifier de manière exhaustive « l’anormalité », constituant pour l’auditeur sa zone de risques réels, sur laquelle focaliser ses investigations.

La combinaison de ces deux approches top down et bottom up permet d’éviter que l’auditeur ne soit pas en mesure d’identifier un risque. Cela suppose en outre que l’auditeur ait bien intégré ce changement et qu’il utilise ces deux approches.

Lire l’article précédent : “L’impact de l’IA sur le modèle des trois lignes de défense”