Selon la CNCC, les commissaires aux comptes doivent être en mesure d’accueillir et de maîtriser les potentialités offertes par l’IA « tout en gardant pour seul horizon celui de leur mission fondamentale : garantir la confiance au sein de l’économie ». Elle affirme que l’étude sur l’IA quelle vient de rendre publique est une première pierre de la réflexion à mener.

Évolution du rôle traditionnel des auditeurs

Le rapport souligne qu’en matière de détection d’anomalies et de fraude, l’IA est l’outil adéquat pour renforcer la vérification des comptes. Car elle déculpe la capacité des auditeurs à identifier les irrégularités, les écarts et les éventuels cas de fraude, notamment parce que l’IA utilise des algorithmes d’apprentissage automatique qui tirent leur fonctionnement d’un corpus initial de données historiques. Les auteurs expliquent qu’en « établissant des comportements de références, les algorithmes peuvent indiquer les écarts, jusqu’aux anomalies précises. Cette approche proactive permet à l’auditeur de devancer des risques et d’appréhender des éléments atypiques sur lesquels concentrer l’analyse ».

La prise en compte du temps réel fait également partie des enjeux de l’IA. L’étude explique que sur la base de remontées d’alertes en temps réel, le CAC peut analyser une situation précise et se retourner rapidement vers le client si besoin. Selon un répondant : « Intervenir en continu auprès de nos clients peut apporter une véritable valeur ajoutée car avec le temps réel, le suivi régulier, nous pourrions être plus présents auprès des clients. Plutôt que de faire du SAV, nous serions dans la prévention. C’est une autre façon de travailler, de conduire nos missions ».

Pour les auteurs, le temps réel est un indispensable pour la profession de CAC qui sortirait alors « d’une perception de « service-après-vente », notamment pour les entreprises qui disposent déjà d’experts-comptables ».

De nouvelles missions pour les auditeurs

Les auteurs du rapport attirent l’attention sur les effets de la généralisation de l’IA sur les fondements de la confiance dans l’information publiée par les acteurs économiques et les CACs. Selon eux, si les systèmes et outils intégrant de l’IA sont auditables, la question de la contribution des CACs et de la valeur de leur certification, se pose. Pour les experts interrogés, cette certification des dispositifs IA par les CACs n’est pas une évidence, car elle implique de nouveaux champs de compétences. Ils considèrent que l’IA crée une nouvelle forme de risque qui les obligent à intervenir sur ce champ pour apporter la confiance.

Plusieurs niveaux d’intervention sont à distinguer d’après eux : cela va de la qualification des usages qu’un client souhaite faire de l’IA pour vérifier que les dispositifs sont conformes aux différentes réglementations (RGPD, AI Act, NIS 2, etc.) jusqu’à la certification des systèmes IA mis en œuvre par les entreprises.

Cependant, ils précisent que même si c’est le rôle des ESN (Entreprises de Service du Numérique) ou des organismes comme l’ANSSI de conduire les audits de systèmes, les CACs, peuvent organiser les démarches de sollicitation et de récupération des labels, pour ensuite proposer des mesures correctives en cas de difficultés.

Pour le CNCC, cette perspective de structuration des démarches de labellisation des systèmes d’IA utilisés en entreprise pourrait à court terme, concerner les enjeux de cybersécurité et plus spécifiquement l’élargissement des entreprises concernées par la réglementation NIS 2 (Network and Information Security) et par DORA (Digital Operational Resilience Act) pour les acteurs financiers. Ce qui se traduirait par une participation des CACs aux dispositifs de gouvernance de l’IA.

De la même façon, l’analyse prédictive fait partie des principales attentes des entreprises vis-à-vis des auditeurs. Ainsi, en analysant les données historiques et en identifiant des modèles, l’IA aide à prévoir les tendances, à anticiper et évaluer les risques futurs. Cette approche, sous forme de scénarios prédictifs, ouvre des possibilités utiles en termes de proactivité des audits. Ce qui rejoint l’enjeu du temps réel.

La CNCC met en place un plan d’action sur l’IA

Le représentant des professionnels de l’audit et du chiffre présente huit recommandations afin d’aider les CACs à mieux appréhender l’IA :

1 -Créer un « LabIA » au sein de la CNCC pour faire émerger des éléments de positionnement de la profession en lien avec le déploiement de l’IA, et ouvrir de nouveaux territoires d’innovation.

2-  Inscrire la profession dans une démarche collaborative auprès du législateur et des régulateurs sur les enjeux de l’IA, notamment en inscrivant la CNCC en tant qu’instance experte au sein des structures qui vont composer les organisations relais de l’AI Act en France.

3- Soutenir l’acculturation de la gouvernance d’entreprise sur les sujets d’IA

Pour la CNCC, il apparaît essentiel d’installer durablement les CAC comme des acteurs de confiance au sein des gouvernances de l’IA qui vont se déployer au niveau des organisations (certification des systèmes d’IA en entreprise) et au niveau institutionnel (positionnement au sein de la nouvelle architecture de l’AI Act).

4 - Diffuser les bonnes pratiques au sein de la profession pour un usage efficace et responsable de l’IA

Selon la CNCC, l’IA responsable n’est pas un « produit » mais une démarche qui implique des expertises conjointes pour permettre l’explicabilité des systèmes, la traçabilité des données, la sécurisation, etc., notamment pour protéger les clients et citoyens de mésusages des données personnelles.

Elle compte réaliser et promouvoir un guide de supervision vers une IA responsable en matière d’audit pour les dirigeants et les administrateurs d’entreprises.

5) Investir dans le développement de solutions technologiques intégrant l’IA

6) Favoriser l’accès de solutions intégrant l’IA à tous les professionnels

La CNCC développe et met à disposition des professionnels des outils numériques utiles à l’exercice de leurs missions. La question de l’intégration de modèles d’IA à certains de ces outils est déjà en cours d’étude, notamment pour sa plateforme documentaire SIDONI.

7) Développer un outil de cartographie et d’analyse des risques découlant de l’utilisation de l’IA dans les entreprises

Pour la CNCC, l’utilisation de l’IA par les entreprises pose de nouveaux risques susceptibles d’affecter la fiabilité, l’audibilité et la qualité de l’information que ces dernières publient. Par conséquent, pour mieux appréhender ce risque et envisager les mesures de prévention nécessaires, la profession pourrait proposer un outil de diagnostic à réaliser par le CAC, sur le modèle des outils existants en matière de cybersécurité ou de durabilité.

8) Accompagner la formation dans la connaissance et la maîtrise de l’IA

La CNCC souligne qu’il est impératif de fournir un accompagnement sur le terrain, notamment en matière de formation aux nouveaux usages et au déploiement des technologies avancées. Au-delà des dispositifs d’acculturation génériques, il apparaît indispensable de faciliter l’accès à un savoir opérationnel sur les enjeux de l’IA dans les organisations et les usages les plus pertinents pour les CACs eux-mêmes.

Le représentant du secteur relève enfin que l’adoption réussie de l’IA dans l’audit nécessite des compétences spécifiques pour utiliser et interpréter les résultats des outils basés sur l’IA. Une pénurie de professionnels qualifiés et la nécessité de programmes de formation continue posent des défis pour les organisations qui cherchent à tirer efficacement parti de l’IA dans leurs pratiques. Ainsi, les cabinets doivent attirer de nouveaux talents capables de maîtriser les flux de données comme le font les data analysts et les data controllers.

Vous pouvez retrouver l’étude complète ici :

Samorya Wilson