Pourquoi l'audit par sondage est une pratique en voie de disparition
L'audit interne a fonctionné selon un modèle d'échantillonnage statistique pendant des décennies : tester un sous-ensemble représentatif, extrapoler les conclusions à la population, et accepter qu'une approche par sondage manquera certaines choses. Cette approche était nécessaire lorsque les tests étaient manuels et les populations importantes. Elle n'est plus nécessaire — et le passage du sondage aux tests IA de population complète est l'un des changements les plus significatifs de la méthodologie d'audit depuis une génération.
Les implications vont au-delà de l'efficacité. Les audits par sondage ont des angles morts systématiques : ils trouvent ce qui est présent dans l'échantillon, et les irrégularités sophistiquées peuvent être structurées pour éviter la sélection de l'échantillon. Les tests IA de population complète éliminent ces angles morts. Chaque transaction, chaque application de contrôle, chaque exception — examinée, pas estimée.
Pour les institutions financières canadiennes, les agences gouvernementales et les entités réglementées, ce changement redéfinit ce que l'audit interne peut garantir et à quel coût.
Surveillance continue des contrôles : l'audit sans cycle annuel
La surveillance continue des contrôles (SCC) est le fondement opérationnel de l'audit interne amélioré par IA. Au lieu de tester les contrôles au moment de l'audit — une évaluation ponctuelle de si les contrôles fonctionnaient lorsque les auditeurs regardaient — la SCC teste les contrôles sur des données en direct de manière continue, générant une visibilité en temps réel sur la performance des contrôles.
Un déploiement de SCC pour un client de services financiers pourrait surveiller : les violations de séparation des tâches dans l'ERP (signalant les cas où les fonctions d'approbation et de saisie sont effectuées par le même utilisateur), la conformité à l'autorisation des paiements (identifiant les paiements au-dessus du seuil qui n'ont pas été doublement approuvés), la réalisation des rapprochements de comptes (alertant lorsque les rapprochements sont en retard ou que les éléments non rapprochés dépassent la tolérance), et les anomalies d'accès des utilisateurs (détectant les déviations des schémas d'accès qui peuvent indiquer une compromission d'identifiants).
Chacun de ces contrôles est testé sur la population complète des transactions, en continu. Les éléments exceptionnels sont mis en file d'attente pour la réponse de la direction et suivis jusqu'à leur résolution. Le rôle de la fonction d'audit évolue des tests périodiques vers la révision des exceptions et l'analyse des tendances systémiques — un travail à plus haute valeur ajoutée avec une couverture plus large.
Les analyses décisionnelles de Remolda incluent l'implémentation de la SCC pour les clients des services financiers et gouvernementaux canadiens.
Signalisation des risques basée sur les anomalies
Au-delà des tests de contrôle basés sur des règles, la détection d'anomalies IA identifie des modèles qui ne correspondent pas aux normes établies — même quand aucune règle spécifique n'a été violée. C'est la capacité IA la plus pertinente pour détecter les nouvelles fraudes, les erreurs opérationnelles qui se situent entre les contrôles définis et les risques émergents que les ensembles de règles n'ont pas encore capturés.
Les modèles de détection d'anomalies apprennent à quoi ressemble la normalité pour une entité, un processus ou un compte donné — la distribution des tailles de transactions, des fréquences, des contreparties et des délais qui caractérise l'activité légitime. Les déviations par rapport à cette référence déclenchent des signalements pour révision humaine, sans que la déviation spécifique ait besoin d'être prédéfinie comme règle.
Pour la détection de la fraude dans les marchés publics — un défi persistant pour les organisations gouvernementales canadiennes et les grandes entreprises — la détection d'anomalies identifie les schémas de fournisseurs, les schémas d'approbation des employés et les caractéristiques des factures qui diffèrent des normes établies. Elle ne remplace pas le jugement requis pour évaluer si une anomalie représente une fraude, une erreur ou une exception légitime, mais elle fait remonter des éléments que les tests basés sur des règles ne détecteraient pas.
Contexte de conformité BSIF et Secrétariat du Conseil du Trésor
Les institutions financières canadiennes font face à des obligations réglementaires spécifiques que l'IA d'audit interne doit aborder. La ligne directrice E-23 du BSIF sur la gestion du risque lié aux modèles s'applique aux modèles IA, y compris ceux utilisés dans la fonction d'audit elle-même. Les institutions financières qui utilisent la détection d'anomalies IA ou le scoring de risque dans leurs processus d'audit doivent documenter la méthodologie du modèle, valider les résultats du modèle et évaluer le risque lié au modèle — la même rigueur requise pour les modèles de risque de crédit et de marché.
La politique du Secrétariat du Conseil du Trésor du Canada pour les ministères fédéraux et les sociétés d'État inclut des exigences relatives aux contrôles internes en matière de rapport financier (CIRF) qui sont de plus en plus satisfaites par des implémentations de SCC. La Directive sur l'audit interne de 2024 du SCT fournit un cadre dans lequel la méthodologie d'audit améliorée par IA s'inscrit — bien que les orientations explicites sur l'utilisation de l'IA en audit soient encore en développement.
Pour les contextes BSIF et SCT, la communication clé avec le comité d'audit est la suivante : les outils IA élargissent la couverture et la rapidité des tests de contrôle, mais le jugement humain en audit reste essentiel pour l'évaluation des risques, l'analyse des causes profondes et l'orientation des mesures correctives de la direction.
Consultez les services de gouvernance et de conformité de Remolda pour le soutien à l'implémentation de la conformité réglementaire.
Analyse de la population d'audit : scoring de risque et priorisation
Avant les tests, les fonctions d'audit interne doivent décider où concentrer les ressources limitées. La priorisation traditionnelle du plan d'audit utilise des évaluations des risques — des sondages et des ateliers avec les unités d'affaires qui sont chronophages à mener et sujets au biais de disponibilité (les auditeurs trouvent ce qu'ils cherchent).
Le scoring de risque IA complète l'évaluation par sondage avec des signaux quantitatifs : des indicateurs opérationnels qui corrèlent avec les faiblesses de contrôle (fréquence des modifications de systèmes, rotation du personnel dans les rôles critiques de contrôle, tendances des taux d'exception des périodes d'audit précédentes), des signaux financiers (tendances des écarts dans les soldes de comptes, anomalies de volume de transactions) et des signaux externes (mesures d'exécution réglementaires pour des entités comparables, schémas de fraude sectoriels provenant de sources publiques).
Le score de risque IA est une contribution à la priorisation du plan d'audit, pas la décision elle-même. Le jugement d'audit doit évaluer si les signaux quantitatifs reflètent un risque réel ou s'ils s'expliquent par des changements commerciaux légitimes. La valeur réside dans le fait de s'assurer que les signaux quantitatifs ne sont pas manqués lors de l'allocation des ressources d'audit limitées.
Implémentation des capacités d'audit IA : une feuille de route pratique
Pour les fonctions d'audit interne canadiennes, une implémentation IA pratique suit une approche par étapes. Commencez par la SCC sur un seul processus à volume élevé et basé sur des règles où les paramètres de contrôle sont clairement définis et les données sont accessibles — les comptes fournisseurs sont le point de départ le plus courant. Mesurez les taux de faux positifs, le suivi des corrections et le temps d'examen par exception. Étendez à des processus supplémentaires une fois le modèle opérationnel éprouvé.
La détection d'anomalies est une capacité d'étape ultérieure nécessitant plus d'historique de données et un développement de modèle plus sophistiqué — généralement phase 2 ou 3 dans une feuille de route d'audit IA.
Le scoring de risque IA complet pour la priorisation du plan d'audit est une capacité mature qui bénéficie d'avoir les données SCC (qui fournissent un historique quantitatif de la performance des contrôles) comme contribution — en faisant naturellement un développement de phase 3.
La communication avec le comité d'audit et la haute direction tout au long de ce parcours est aussi importante que l'implémentation technique. Les conseils d'administration s'attendent de plus en plus à ce que l'audit interne utilise l'analytique de données ; la tâche de communication est d'aider les membres du conseil à comprendre ce que l'audit IA peut et ne peut pas garantir, et pourquoi la couverture s'est améliorée tandis que les limites des sondages ont été réduites.
Les implémentations d'analytique et d'agents de Remolda pour l'audit interne sont conçues pour le contexte réglementaire canadien. Contactez-nous pour discuter de votre feuille de route d'automatisation de l'audit.