Contrôles internes: Défis et opportunités liés à la digitalisation
Prof. Dr. Thomas Rautenstrauch
Thomas Rautenstrauch est professeur pour la formation en économie d’entreprise et plus particulièrement en accounting et controlling. Il est d’ailleurs directeur du Center for Accounting & Controlling de la Haute école d’économie de Zürich. De plus, il enseigne, en qualité de professeur invité, le management accounting en Executive MBA au sein de l’Institute for Management in Technology (iimt) de l’Université de Fribourg. Thomas Rautenstrauch est l’auteur de plusieurs ouvrages spécialisés et de nombreux articles pour des revues et pour la presse économique.
Aides de travail appropriées
EN BREF
La digitalisation permet d’automatiser les contrôles répétitifs, d’améliorer la détection des anomalies et de renforcer la surveillance en temps réel. L’intégration de l’IA générative et des LLM transforme le SCI d’un système réactif basé sur des échantillons en un dispositif préventif, orienté données. Cette évolution nécessite toutefois un encadrement strict en matière de conformité, de gouvernance et de protection des données.
À retenir:
→ L’automatisation réduit les tâches manuelles et les erreurs humaines.
→ Les LLM permettent des analyses prédictives et une détection avancée des anomalies.
→ Le Continuous Control Monitoring renforce la surveillance continue des processus.
→ L’explicabilité des décisions d’IA est un enjeu central de conformité.
→ La protection des données doit être intégrée dès la conception des contrôles automatisés.
Comment optimiser les contrôles internes grâce aux évolutions technologiques ?
L’augmentation constante des exigences réglementaires ainsi que le nombre croissant de transactions commerciales posent régulièrement de nouveaux défis au SCI. D’une part, il s’agit d’assurer la sécurité et la surveillance nécessaires des processus métier de la manière la plus efficace et la plus efficiente possible. D’autre part, dans la pratique, les contrôles internes sont encore souvent caractérisés par un nombre élevé de tâches manuelles.
La digitalisation croissante a des répercussions profondes sur la gestion d’entreprise et sur la gestion des systèmes de contrôle interne (SCI). Elle ouvre de nouvelles possibilités d’amélioration de l’efficacité grâce à l’automatisation et au renforcement des contrôles internes, mais comporte également de nouveaux risques, notamment en matière de protection des données et de conformité.
Cet article donne un aperçu des aspects essentiels de la digitalisation en lien avec le système de contrôle interne des entreprises et met notamment en lumière le rôle de l’intelligence artificielle générative ainsi que les défis qui y sont associés du point de vue de la conformité et de la protection des données.
Digitalisation et SCI : opportunités et défis
La digitalisation transforme le SCI à différents niveaux. D’une part, l’introduction de systèmes informatiques conduit à l’automatisation des processus et des contrôles, ce qui augmente l’efficacité et la précision. D’autre part, l’utilisation des technologies numériques engendre de nouveaux risques, tels que les cyberattaques ou les erreurs systémiques, qui peuvent rendre le système de contrôle vulnérable.
Les technologies numériques permettent d’automatiser de nombreux contrôles du SCI jusqu’alors effectués manuellement. Ainsi, les systèmes de surveillance des transactions en temps réel peuvent détecter les écarts et générer ou déclencher automatiquement des alertes. Cette automatisation réduit non seulement la charge de travail manuel, mais minimise aussi les erreurs humaines et peut considérablement améliorer la rapidité et la précision des contrôles internes.
L’une des dernières avancées en matière de digitalisation est l’utilisation de l’intelligence artificielle générative. Les modèles d’IA générative, rendus possibles par le deep learning et le traitement du langage naturel (NLP), peuvent effectuer des analyses de données complexes, détecter des anomalies dans de grands ensembles de données et même établir des prévisions concernant des risques futurs. Un exemple en est l’analyse des données de transactions afin de détecter des schémas inhabituels pouvant indiquer une fraude. Cela constitue une amélioration significative par rapport aux systèmes de contrôle traditionnels basés sur des règles.
Automatisation des contrôles manuels grâce à l’IA générative
L’utilisation de l’IA générative pour automatiser les contrôles du SCI offre de nombreux avantages. Un aspect essentiel réside dans la capacité des systèmes d’IA à apprendre à partir de grandes quantités de données et à reconnaître des modèles difficilement perceptibles par l’être humain. Par exemple, en analysant les données historiques de transactions, les systèmes d’IA peuvent identifier des schémas susceptibles d’indiquer des risques futurs. Ces systèmes peuvent ensuite déclencher des alertes automatisées ou proposer des mesures préventives.
Un exemple concret d’automatisation grâce à l’IA générative est la vérification automatisée des factures et des flux de paiement. Un modèle d’IA générative peut apprendre quelles factures étaient légitimes par le passé et détecter automatiquement, pour les factures futures, les écarts susceptibles d’indiquer une fraude potentielle.
Défis liés à la mise en œuvre : malgré ses nombreux avantages, l’automatisation via l’IA générative comporte également des défis. Un problème central réside dans l’explicabilité des décisions prises par l’IA, souvent qualifiée de problème de la « boîte noire ». Cela implique des exigences particulières en matière de conformité, car les entreprises doivent être en mesure de comprendre et de justifier les décisions de l’IA. Cet aspect est particulièrement important dans le contexte des exigences réglementaires et des audits.
Conformité, gouvernance d’entreprise et protection des données
L’automatisation des contrôles du SCI par les technologies numériques et l’IA soulève des questions importantes en matière de conformité, de gouvernance d’entreprise et de protection des données. Les entreprises doivent s’assurer que les processus automatisés respectent les exigences légales et réglementaires tout en respectant les principes de gouvernance d’entreprise.
Conformité
Les contrôles automatisés doivent respecter les exigences réglementaires en vigueur. Dans le secteur financier notamment, il existe des règles strictes concernant la surveillance et la documentation des processus de contrôle. Les entreprises doivent s’assurer que les contrôles automatisés par l’IA sont traçables et documentés afin de satisfaire aux exigences réglementaires.
Gouvernance d’entreprise
Un SCI solide constitue un élément essentiel de la gouvernance d’entreprise. L’automatisation ne doit pas conduire à un affaiblissement des mécanismes de contrôle. Il est important que les entreprises préservent l’intégrité et l’indépendance des processus de contrôle et vérifient régulièrement si les systèmes d’IA fonctionnent comme prévu.
Protection des données
La protection des données représente un enjeu central dans l’automatisation des contrôles, en particulier lorsque des données à caractère personnel sont traitées. Les entreprises doivent s’assurer que les technologies utilisées respectent les exigences en matière de protection des données. Cela inclut notamment la mise en œuvre de mesures telles que l’anonymisation, la pseudonymisation et la garantie que les données ne sont traitées qu’aux fins prévues.
Continuous Control Monitoring (CCM)
Le Continuous Control Monitoring (CCM) est considéré comme une solution technologique permettant la surveillance continue des processus, qui transforme les approches traditionnelles de contrôle, routinières et basées sur des échantillons, en analyses orientées vers la création de valeur. Le système de contrôle interne comprend généralement des contrôles visant à surveiller les indicateurs clés de performance (KPI) pour les processus métier critiques, ainsi que des contrôles visant à garantir le respect des procédures définies.
Le choix des KPI pour les processus métier critiques peut varier selon le secteur d’activité et le modèle économique. Un détaillant devrait par exemple suivre la valeur moyenne des transactions de vente et le chiffre d’affaires par mètre carré de surface de vente. Un hôpital, en tant qu’établissement de santé, mesurera plutôt les temps d’attente aux urgences, la durée moyenne de séjour à l’hôpital ou encore le taux de réhospitalisation.
Le CCM comprend notamment la vérification des validations selon le principe du double contrôle pour les paiements sortants, ainsi que l’attribution d’autorisations en fonction des rôles dans les systèmes informatiques afin de garantir la séparation des fonctions.
Concept des lignes de défense
En tant que solution proposée sous forme de service géré, le CCM permet à la première ligne de défense de gérer et d’exploiter directement ses processus opérationnels, tout en garantissant la transparence et la traçabilité. Le système permet aux deuxième et troisième lignes de défense de surveiller les activités de la première ligne, ce qui évite les redondances dans les tests et les coûts associés.
Recommandations de produits
Les grands modèles linguistiques (LLM) au service du SCI
Les grands modèles linguistiques (LLM) sont des systèmes d’intelligence artificielle avancés, entraînés sur d’énormes quantités de données textuelles afin de comprendre et de générer le langage humain. Ils reposent sur des réseaux neuronaux, en particulier sur l’architecture Transformer, et sont capables de traiter des tâches linguistiques complexes telles que la compréhension de texte, la traduction, la génération de contenu et même des déductions logiques. On peut citer comme exemples GPT-4 ou des modèles comparables. Ces modèles sont capables de traiter de grandes quantités de données afin d’identifier des liens contextuels et de fournir, sur cette base, des réponses ou des solutions pertinentes.
Vérification automatisée des transactions et de la documentation
Les LLM permettent d’automatiser des contrôles manuels répétitifs, souvent chronophages et sources d’erreurs. Grâce à leur capacité à analyser des textes et des données en temps réel, ils rendent les processus de vérification, tels que le contrôle des journaux de transactions ou le respect des directives, nettement plus efficaces. Ainsi, les contrôles manuels peuvent être soutenus, voire partiellement remplacés, par des solutions basées sur les LLM, permettant de gagner du temps et d’améliorer la précision grâce à la détection automatisée des erreurs.
Un exemple en est la vérification automatisée des factures ou le « rapprochement à trois facteurs », que les LLM peuvent effectuer en détectant et en signalant les écarts en temps réel.
Aide à la conformité réglementaire
Les LLM peuvent analyser les exigences réglementaires actuelles et les comparer aux directives internes de l’entreprise. Ils contribuent ainsi à garantir que tous les processus et activités sont conformes aux lois et réglementations en vigueur. De plus, ils peuvent réagir rapidement aux évolutions législatives et aider les entreprises à adapter leurs mécanismes de contrôle en conséquence. Parmi les avantages figurent la réduction des risques de non-conformité et une meilleure capacité d’adaptation aux changements réglementaires.
Optimisation des analyses de risques et des processus d’audit
En analysant des données historiques et en temps réel, les LLM peuvent identifier rapidement les domaines à haut risque et les signaler de manière ciblée. Cela facilite l’évaluation et la surveillance des risques, ce qui se traduit par des audits plus précis et une allocation plus efficace des ressources dans le processus d’audit. Les LLM peuvent également contribuer à la rédaction de rapports d’audit et à l’identification des lacunes du système de contrôle.
Renforcement de l’environnement de contrôle grâce aux analyses prédictives
Les LLM sont capables de reconnaître des schémas passés et de développer des modèles prédictifs sur cette base. Cela permet aux entreprises d’identifier rapidement les failles potentielles du système de contrôle et de prendre des mesures préventives. Par exemple, les LLM peuvent anticiper des cas potentiels de fraude ou de non-respect des règles avant même qu’ils ne se produisent. L’avantage réside dans une réduction proactive des risques grâce à la détection précoce et à la prévention.
Aide à la documentation et à la gestion des connaissances
Les LLM peuvent servir de base de connaissances et automatiser la documentation des processus et des contrôles internes. Ils peuvent également fournir à la demande des directives, des procédures ou des résultats d’audits antérieurs, offrant ainsi un soutien dynamique aux collaborateurs. Les avantages sont notamment une meilleure disponibilité des connaissances et une réduction des efforts liés à la documentation et à la mise à jour des directives.
Rapports et analyses en temps réel
Un SCI traditionnel repose généralement sur des rapports périodiques, tandis que les LLM permettent une surveillance continue et la génération de rapports en temps réel. Cela permet aux dirigeants de réagir plus rapidement aux écarts et de prendre des décisions éclairées sur la base des données les plus récentes.
Grâce aux rapports en temps réel, les irrégularités telles que les transactions suspectes ou les violations des directives internes peuvent être détectées immédiatement. Cela permet d’intervenir rapidement et de réduire le risque de préjudice.
De plus, les responsables et les fonctions de contrôle disposent en permanence de données et d’informations importantes en temps réel. Ils peuvent ainsi prendre des décisions mieux fondées, basées sur des faits actuels et non sur des rapports différés.
L’analyse en temps réel fournit également des informations prédictives permettant d’identifier des failles potentielles ou des cas de fraude avant qu’ils ne s’aggravent. Le SCI évolue ainsi d’un contrôle réactif vers un contrôle préventif.
Au lieu de dépendre d’audits périodiques, les processus de contrôle peuvent être surveillés en continu. Cela permet d’économiser des ressources et de réduire le travail manuel lié aux rapports et aux analyses.
Les exigences légales et réglementaires peuvent être surveillées en continu et les infractions signalées immédiatement. Cela contribue au respect de la conformité et réduit le risque de sanctions.
Détection de schémas et d’anomalies
Les LLM peuvent analyser des données transactionnelles historiques et y identifier des schémas complexes ainsi que des anomalies rares. Cela permet de détecter des modèles pouvant indiquer des erreurs systémiques ou des fraudes, ce qui reste souvent difficile avec des mécanismes de contrôle traditionnels. L’un des principaux avantages réside dans l’amélioration significative de la détection des fraudes et des failles systémiques.
Checklist pratique pour digitaliser son SCI
→ Identifier les contrôles manuels à fort volume ou à risque élevé.
→ Définir des KPI pertinents pour chaque processus métier critique.
→ Évaluer l’opportunité d’un Continuous Control Monitoring.
→ Mettre en place une documentation claire des algorithmes utilisés.
→ Garantir la traçabilité des décisions automatisées.
→ Tester régulièrement les modèles d’IA pour éviter les dérives.
→ Vérifier la conformité aux exigences réglementaires sectorielles.
→ Intégrer des mesures de protection des données (anonymisation, limitation des finalités).
→ Clarifier les responsabilités entre première, deuxième et troisième lignes de défense.
→ Former les responsables et fonctions de contrôle à l’utilisation des outils numériques.
Contrôles internes: conclusion
Dans le contexte de la digitalisation et de l’automatisation croissantes, un système de contrôle interne numérique vise à remplacer ou à optimiser les activités de contrôle manuelles. Que ce soit par le biais de flux de travail numériques, de l’évaluation des risques ou de la surveillance en temps réel, la digitalisation permet au système de contrôle interne, notamment grâce à l’utilisation de technologies d’intelligence artificielle générative, non seulement d’améliorer l’efficacité et la rentabilité des contrôles internes à plusieurs niveaux, mais aussi d’en élargir les possibilités.
Cette évolution s’accompagne toutefois de nouveaux défis, en particulier dans les domaines de la conformité, de la gouvernance d’entreprise et de la protection des données. Les entreprises doivent non seulement exploiter pleinement les possibilités technologiques, mais également respecter le cadre juridique et éthique.
Les grands modèles linguistiques, en particulier, peuvent considérablement renforcer le système de contrôle interne d’une entreprise. Ils permettent non seulement d’accroître l’automatisation et l’efficacité, mais aussi d’identifier plus précocement les risques dans les processus métier et de mettre en place des contrôles internes préventifs grâce à des analyses prédictives.
La capacité d’analyse en temps réel, de reconnaissance de schémas et d’assistance intelligente dans les audits et la conformité rend le système de contrôle interne non seulement plus performant, mais également plus flexible et orienté vers l’avenir.
Les entreprises qui misent sur des modèles linguistiques avancés comme ChatGPT et d’autres solutions comparables ont le potentiel de faire évoluer leurs processus de contrôle interne vers un niveau supérieur. Cela permet une gestion d’entreprise globalement plus robuste et plus efficiente.
FAQ: Contrôles internes et digitalisation
L’IA peut-elle remplacer totalement les contrôles internes manuels ?
Non. L’IA peut automatiser et renforcer de nombreux contrôles, mais la supervision humaine reste indispensable, notamment pour les décisions sensibles et l’évaluation des risques complexes.
Quels sont les principaux risques liés à l’utilisation des LLM dans le SCI ?
Les risques concernent l’explicabilité des décisions, la protection des données, les biais algorithmiques et la dépendance technologique.
Le Continuous Control Monitoring est-il adapté aux PME ?
Oui, à condition d’adapter la complexité du dispositif à la taille et aux ressources de l’entreprise. Des solutions modulaires ou externalisées peuvent être envisagées.
Comment garantir la conformité lors de l’automatisation des contrôles ?
En documentant les processus, en assurant la traçabilité des décisions automatisées et en effectuant des audits réguliers des systèmes utilisés.
Pour en savoir plus:
SCI: A quoi ressemble un système de contrôle interne efficace? (W+)
Système de contrôle interne: 8 conseils pour le mettre en place ou le réorganiser
