L'usage des données et de l’Intelligence Artificielle au service de l'Audit Interne

De nos échanges, il ressort que les outils digitaux se multiplient, certains répondant à des besoins spécifiques d’autres embrassant de nombreuses fonctionnalités aux services des 3 lignes de maitrise. En pratique, le panel de possibilités est presque infini pour les départements d’audit et contrôle interne, pour autant les budgets consacrés aux outils restent faibles ou inexistants. Dans de nombreux cas, à budget égal, on préférera disposer d’un auditeur de plus au sein de l’équipe que de s’équiper d’un outil ! 

Dès lors, il est important pour les auditeurs et contrôleurs internes de faire des choix éclairés, des choix sur lesquels l’investissement financier et en formation sont raisonnables avec des résultats tangibles ! 

Le premier levier est donc d’utiliser les logiciels déjà utilisés par l’entreprise. Logiciels d’échange de données, solutions d’auto-évaluation, solutions d’analyse et de présentation de données : pas d’investissement pour l’audit et le contrôle interne, faible effort de formation et surtout un langage commun déjà établi avec le reste de l’entreprise…

Au-delà de cela, dans les outils couramment utilisés dans l’entreprise, certaines fonctionnalités particulièrement intéressantes pour nos activités sont souvent méconnues ou sous utilisées.

A titre d’illustration, force est de constater que Microsoft se fait une place grandissante au sein des entreprises avec sa suite M365, Power BI convainquant beaucoup sur des fonctionnalités de visualisations et Copilot se développant au jour le jour. Néanmoins, certaines fonctionnalités sont encore peu connues, avec l’exemple de Power Query, présent au sein de Power BI mais également d’Excel, permettant déjà un certain nombre de retraitements automatisés.  
De même, les ERP proposent souvent un large panel de transactions et/ou tables de paramétrages pouvant répondre à certains besoins. 
Il est donc essentiel, avant d’essayer d’aller chercher du neuf, de regarder les possibilités existantes au sein des outils déjà déployés et de nous former.

L'analyse de données représente une approche méthodique permettant aux auditeurs internes d'examiner les informations de l'organisation de manière globale et objective. Cette pratique transforme les données brutes en indicateurs pertinents et exploitables pour donne un éclairage l’efficacité et la maîtrise des processus.

L’analyse des données constitue un levier stratégique pour augmenter la valeur des échanges avec le Comité d'audit et la Direction générale. Elle permet d'identifier plus profondément et plus largement les non-conformités potentielles, d'améliorer la couverture des risques et de renforcer la pertinence des recommandations formulées.

L'analyse de données s'inscrit dans un processus d'amélioration continue du dispositif de contrôle. Les auditeurs internes peuvent ainsi consacrer davantage de temps à l'analyse critique des résultats et à la formulation de recommandations à forte valeur ajoutée pour les parties prenantes.

Pour tirer pleinement parti des technologies de données et d'IA, nous notons que l’approche courante consiste à former l’ensemble de l’équipe concernée. La solution « une formation pour tous », quand elle est appliquée, ne porte visiblement pas les fruits espérés, faute d’intérêt, d’appétence, d’exemples applicables au quotidien ou d’opportunités.

Il semble que l’approche de formation donnant la meilleure adoption dans le temps soit la suivante :

• Une sensibilisation à tous (équipe et managers / responsables) sur les opportunités offertes par ces technologies. 
• Des formations intermédiaires, des "champions" capables d’identifier plus précisément les possibilités, le temps requis, définir des cahiers des charges précis et de mettre en œuvre des analyses ou aller chercher les experts appropriés en cas de besoin. 

Les profils d'auditeurs IT ou de data analystes reconvertis à l’audit sont particulièrement adaptés pour répondre à ces besoins. 
Les autres possibilités reposent sur la collaboration entre « guest auditors » et auditeurs généralistes ayant une appétence pour ces sujets afin de « parler le même langage ».

Nous le constatons régulièrement, malgré des programmes de formations ambitieux et un « push » des entreprises, les cas usages sont nettement moins généralisés qu’espéré. Comment s’expliquent-ils ?

Un certain nombre d’obstacles à l’usage persistent :

• Une ambition au démarrage de l’audit qui ne se concrétise pas, faute de temps mais surtout d’anticipation lors de la préparation de l’audit !
• L’accès aux données à analyser reste le premier obstacle. Il est souvent long et fastidieux d’obtenir des informations de qualité, auprès des services techniques et/ou informatiques, dans un délai compatible avec le calendrier d’une mission.
• Les analyses ne sont pas pérennisées après leur première utilisation, faute de valorisation de ces analyses réalisées ou de partage aux fonctions risques et/ou métier.

On voit ici que le niveau de collaboration entre l’audit interne et les fonctions informatiques est clé, dans le cadre d’un réel partenariat, cela permet l’émergence d’idées, de tentatives et facilite dès lors le recours aux données. Les Data Lake, anciennement coûteux, sont maintenant très abordables… alors pourquoi ne pas disposer d’un Datalake répliquant les principales informations opérationnelles et dédié aux fonctions risques ? 

Si l’utilisation des données est un sujet de discussion depuis plusieurs années en audit et au sein des métiers du risque, en tirer pleinement parti repose sur quatre fondamentaux :

• Faire levier sur les outils déjà présents, facilitant ainsi l’adhésion et réduisant les coûts d’investissement et de formation
• Former de façon stratégique en fonction des profils et objectifs, de façon ciblée pour maximiser l’adoption.
• Anticiper, prévoir les usages et valoriser les analyses afin de renforcer l’adhésion.
• S’affranchir d’une dépendance aux départements propriétaires des données, par le biais d’une double compétence au sein des équipes d’audit ou la mise en place de Data Lake.

Vient ensuite la grande question, « l’intelligence artificielle révolutionne-t-elle l’audit interne ? ». Bien que nous le souhaitions tous, nous n’y sommes pas encore !

L’IA est en forte croissance certes et la révolution viendra probablement, néanmoins à date, celle-ci nous offre surtout beaucoup de "quick-wins".

L’IA permet d’accélérer les tâches chronophages, fastidieuses, renforcer les analyses de données, mais surtout permettent aux auditeurs de prendre du recul et se concentrer sur des tâches à valeur ajoutée. Ainsi nous bénéficions de plus de temps pour analyser, synthétiser, faire travailler notre œil critique.

Dans le cas des analyses de données, nous assistons à une transformation majeure permettant d’améliorer la qualité et la fiabilité de nos audits, bien que sous exploitée. Les capacités d'analyse prédictive de l'IA permettent d’identifier des tendances et des anomalies dans les données, rapidement et sur de grands volumes de données, renforçant ainsi notre capacité à anticiper et à prévenir les incidents. De même, la détection des fraudes est désormais plus efficace, avec des algorithmes capables de repérer des schémas complexes et des anomalies subtiles.

Si le renfort des analyses de données par le biais de l’IA est encore souvent l’apanage des data analystes ou d’auditeurs présentant une double compétence audit interne – data ; les cas d’usages “quick-wins” utilisables par tous sur une mission d’audit eux se multiplient :

Attention néanmoins, l’IA doit toujours faire l’objet d’une revue humaine, celle-ci pouvant faire l’objet d’hallucinations, ou ne pas apporter les précautions basées sur le jugement humain. 
Dans l’exemple d’une synthèse de transcript, celle-ci n’est pas (encore) en capacité de détecter le langage corporel qui permettrait à un auditeur de mesurer les propos d’un audité, ou d’appliquer le fameux « esprit critique » essentiel à ce métier.

Par ailleurs, pour faciliter l'usage de l'IA, il est important d'avoir un dossier d'audit bien préparé et alimenté avec rigueur. Un outil de gestion documentaire partagé (Teams, Drive, Box…) à condition que l’IA y ait accès, peut grandement aider en permettant :

• aux audités de déposer la documentation de manière organisée 
• aux auditeurs de travailler de façon collaborative. 
• à l’IA d’avoir un périmètre de connaissance et d’analyse précis.

Cela nécessite néanmoins une bonne gestion des accès (sur les sujets confidentiels) et un entretien tout au long de la mission pour assurer le bon emplacement des documents et leur actualité.

L'intégration de l'intelligence artificielle dans l'audit interne offre des perspectives prometteuses pour soutenir la stratégie d’audit interne et améliorer l'efficacité et la précision des audits. En formant les équipes, en faisant levier sur les bons outils et en n’ayant pas peur d’avoir une approche de « test and learn », les départements d'audit peuvent tirer pleinement parti de ces technologies pour renforcer leur efficacité ainsi que leur valeur ajoutée au sein de l'entreprise.

Bien évidemment, ces possibilités s’appliquent également aux autres fonctions risques.