Home / Resources / ISACA Journal / Issues / 2021 / Volume 4 / How Can AI Drive Audits

Comment l’IA peut-elle être utile pour les audits ?

Author: Shini Menon, CISA, CISM, CDPSE
Date Published: 9 July 2021
Related: Auditing Artificial Intelligence | Digital | English
English

L’audit est considéré comme une pratique manuelle, thématique, fastidieuse et parfois très subjective. Avec le bouleversement numérique qui entoure les professionnels de l’informatique, il est temps d’évaluer comment la prochaine génération de techniques d’intelligence artificielle (IA), de génération automatique de texte (GAT) et d’apprentissage automatique (AA) peut aider les professions d’audit. Plusieurs facettes de ces technologies peuvent s’avérer utiles durant le cycle de vie des audits et au-delà, et il est utile de comprendre comment des techniques similaires ont été appliquées dans d’autres scénarios informatiques et commerciaux. Comprendre les opportunités offertes par l’IA peut être une première étape pour comprendre les avantages de l’IA, de la GAT et de l’AA et leurs nombreuses utilisations.

Audit durant l’ère numérique

La pratique de l’audit est plus que centenaire. Ce qui a commencé comme un travail de comptable est désormais mis en pratique dans toutes les industries, avec un accent particulier mis sur le respect des exigences réglementaires ou la réalisation d’audits basés sur les risques. Même si les types, méthodes ou modèles d’audit ont évolué dans le temps, la communauté d’auditeurs est confrontée à d’importants problèmes allant d’une mauvaise planification de l’audit, la non prise en compte de la modification et de l’évolution des risques, les partis pris de l’auditeur, un décalage avec les entités auditées, et des échantillons de données faussées.

Le rôle de l’auditeur dans l’ère numérique doit évoluer et s’adapter de sorte que les audits soient des mécanismes permettant d’identifier des modèles et tendances à partir de grands ensembles de données. Ces observations permettent d’évaluer les risques, de déterminer la portée des projets et d’identifier de manière proactive et anticipée des problèmes potentiels, entre autres choses. Par exemple, dans le paysage technologique actuel évoluant rapidement, les techniques d’IA et d’AA existantes non seulement détectent les transactions frauduleuses et identifient les questions à haut risque telles qu’une activité inconnue du système depuis les postes de travail des utilisateurs, mais des modèles d’apprentissage peuvent également être établis à partir de telles interventions.

Intervention de l’IA

L’IA est une unification de plusieurs sous-groupes de technologies permettant aux programmes informatiques d’imiter l’intelligence humaine et les compétences de prise de décision. Lesquels incluent principalement l’AA, la GAT et la robotique.

La figure 1 illustre le paysage de l’univers de l’IA. La plupart des sujets représentés en figure 1 peuvent être des solutions potentielles de plusieurs problèmes et domaines de préoccupation connus dans le domaine de l’audit.1 Par exemple :

  • L’analyse des documents de processus et l’augmentation de la taille de l’échantillon de données d’audit peuvent être améliorées.
  • L’audit impliquant beaucoup de données non structurées et structurées, les algorithmes basés sur la GAT peuvent être utilisés pour détecter les questions classées par sujets ou domaines prioritaires.
  • La durée de l’audit peut, potentiellement, être réduite de plus de 50 pour cent vu les heures consacrées à la vérification et à l’examen.

Il existe de nombreux scénarios et mécanismes d’utilisation de l’IA dans les audits.

Défis et problèmes de l’ère numérique : Regardons-nous les bonnes données ?

Pour qu’un quelconque programme d’IA puisse résoudre des problèmes d’audit, celui-ci doit cibler les problèmes des données et ensembles de données. À cet égard, la réponse à toutes les questions suivantes doit être « oui » :

  • L’origine ou la source des données est-elle connue ?
  • Les données sont-elles facilement accessibles ?
  • Les données sont-elles complètes et fiables (c’est-à-dire, l’intégrité des données est-elle assurée) ?
  • La version unique de la vérité (SVOT) a-t-elle été convenue ?

Par le passé, l’objectif des équipes d’audit était de tirer avantage de la technologie de gouvernance, de la gestion des risques et conformité (GRC) en termes d’examen et de vérification de la gouvernance en matière d’audit. Par exemple, les équipes d’audit utilisaient des outils GRC populaires tels que RSA Archer, MetricStream ou ServiceNow pour réaliser des tâches semi-automatisées qu’ils pouvaient précédemment faire manuellement. Il existe actuellement plusieurs composants d’IA disponibles pouvant être utilisés pour résoudre les problèmes liés aux données et à l'échantillonnage et autres problèmes d’audit interne. De nombreuses plateformes GRC peuvent uniquement traiter des données dans les rapports et ne peuvent, à elles seules, tirer des conclusions intelligentes ou aider avec les problèmes liés aux données /à l’échantillonnage.

L’autre facette du sous-ensemble d’IA pour l’audit : Quels sont les autres problèmes critiques ?

L’efficacité/le succès de tout programme d’audit peut être mesuré(e) à l’aide des paramètres suivants

  • Environnement—Facteurs ayant une incidence sur le travail de la fonction d’audit interne
  • Résultat—Les résultats finaux de la fonction d’audit
  • Qualité—La qualité des résultats finaux
  • Efficacité—La mesure des résultats et la qualité des résultats par rapport aux coûts
  • Impact—L’impact de la fonction d’audit sur l’efficacité d’une organisation

Chaque catégorie doit avoir plusieurs mesures de la performance. Certaines de ces mesures de la performance sont subjectives, telles que la capacité à mesurer les résultats (par exemple, le nombre de fois où le résultat de l’audit était directement proportionnel à la conformité globale des processus après audit). Une autre mesure est l’efficacité (par exemple, le pourcentage d’audits pouvant être complété en huit heures d’audit). Toutefois, le défi consiste à améliorer les résultats, la qualité et l’efficacité des audits basés sur l’automatisation des tâches longues et requérant un travail humain intense dans le processus d’audit sans affecter l’impact de l’exercice d’audit. Les principaux catalyseurs de l’IA dans le processus d’audit sont :

  • Analyse prédictive —Mécanisme prévoyant une tendance avec des données ou une taille d’échantillon témoin tout en vérifiant un domaine spécifique, par ex., prévoir une non- conformité du départ de l’utilisateur sur la base des données trimestrielles
  • Automatisation robotisée des processus (RPA) —Semi- automatisation ou automatisation partielle des étapes d’audit telles que l’extraction de données à partir d’ensembles de données dans Word/Excel dans le cadre d’importantes évaluation d’audit et des risques2
  • NLI —Tâches répétitives automatisées via des commandes vocables ciblées lors des vérifications manuelles et répétées
  • Génération automatique de textes et ingestion — Création d’un robot basé sur la GAT pouvant assimiler et apprendre de nouvelles commandes telles que les rapprochements ou vérifications sur la base des listes de vérification si le type d’audit varie

Retour sur investissement : Catalyseurs d’IA à court, moyen et long terme

La figure 2 résume l’automatisation/la portée de l’IA pour chaque étape du flux de travail de l’audit.

Il est évident que la RPA, la GAT et l’analyse prédictive sont certaines des techniques pouvant renforcer la manière dont les auditeurs abordent les audits.3, 4

Opportunités d’optimisation effective à l’aide de l’IA/AA et de la RPA pour l’audit

Les auditeurs doivent traiter un grand nombre d’informations et de données présentées en matière de conformité et dans d’autres domaines. Il semble souvent impossible de comprendre constamment les échantillons d’audit. La plus grande opportunité pour que la RPA, l’AA et l’IA fonctionnent pour l’audit est de fournir des renseignements et connaissances concernant le grand nombre de données. Ces opportunités sont notamment :

  • Réduction du temps du cycle de traitement des données
  • Réduction des erreurs de jugement durant l’audit
  • Remplacement des activités longues et laborieuses (telles que la vérification des justificatifs) avec la RPA
  • Capacité à faire des prédictions et à tirer des conclusions intelligentes (à partir des justificatifs disponibles
LA PLUS GRANDE OPPORTUNITÉ POUR QUE LA RPA, L’AA ET L’IA FONCTIONNENT POUR L’AUDIT EST DE FOURNIR DES RENSEIGNEMENTS ET CONNAISSANCES CONCERNANT LE GRAND NOMBRE DE DONNÉES.

Quel est le risque ?

Même si l’utilisation de l’IA, de l’AA et de la RPA peut bénéficier à une organisation, il est également important de comprendre et considérer le risque impliqué :

  • L’utilisation d’outils d’IA construits par les humains introduit l’éthique, les préjugés humains et les stéréotypes.
  • Un test inadéquat des résultats de l’IA peut produire des résultats et conclusions d’audit discutables.
  • Des erreurs de logique humaine peuvent gêner le développement des algorithmes d’IA utilisés pour l’audit.

Cas d’utilisation spécifique

L’application des techniques d’IA et AA peut être extrapolée dans le cycle de vie de l’audit. Les techniques et leurs utilisations sont considérées comme étant illustrées à la figure 3.

Applications typiques dans les domaines informatiques/commerciaux

Il existe plusieurs applications de l’IA et de l’AA dans d’autres domaines tels que la lutte contre le blanchiment d’argent. La détection des transactions frauduleuses, la réalisation de contrôles de la qualité des données, la sélection négative et le traitement des informationts.ont été automatisés avec succès grâce à des techniques d’IA/AA. La mise en œuvre de l’IA ou AA pour les grandes banques multinationales a permis de réaliser d’importantes économies en termes d'efforts manuels concernant les dépenses courantes et les rapprochements..

Par exemple, une grande multinationale de services informatiques a aidé un grand distributeur à automatiser le remplissage des formulaires de commande de produits et de demande de produits grâce à la GAT et à l’utilisation des commandes Alexa. Ce qui a réduit les erreurs manuelles, la supervision et l’intervention humaine dans les tâches répétitives.

Plusieurs cabinets d’avocat peuvent désormais utiliser les toutes dernières plateformes d’IA et AA pour rechercher, récupérer et obtenir des observations utiles à partir de nombreux documents et dossiers sur la base des besoins réglementaires et juridiques/exigences en matière de compétence.

Conclusion

Les audits peuvent être améliorés de différentes manières au fil du temps à l’aide des techniques d’IA, AA et GAT. Toutefois, la difficulté consiste à savoir si les experts en la matière considèrent ces technologies comme une boîte noire ou un sujet difficile à interpréter ou comprendre. Il se peut qu’il n’y ait que très peu de professionnels experts en informatique ou d’experts fonctionnels capables de mettre en œuvre avec succès l’IA et l’AA. Les professionnels de l’informatique doivent adopter ces techniques afin d’optimiser au mieux le domaine de l’audit et au-delà. Un monde où les professionnels de l’informatique et de l’audit peuvent utiliser les RPA/IA/AA à leur avantage créera des produits du travail plus intéressants, efficaces et mesurés.

Bibliographie

1 Parekh, N.; “Inside Product: Technology Landscape of Artificial Intelligence,” Medium, 20 mars 2018, https://becominghuman.ai/inside-ai-series-artificial-intelligence-technologies-across-processes-systems-and-computations-5e31eab21117
2 The Institute of Internal Auditors (IIA), Artificial Intelligence Part 1—Considerations for the Profession of Internal Auditing, États-Unis, 2017, https://iia.no/product/artificial-intelligence-considerations-for-the-profession-of-internal-auditing/
3 Accenture Consulting, Evolving AML Journey: Leveraging Machine Learning Within Anti-Money Laundering Transaction Monitoring, États-Unis, septembre 2017, https://www.accenture.com/_acnmedia/pdf-61/accenture-leveraging-machine-learning-anti-money-laundering-transaction-monitoring.pdf
4 Deloitte, Adopting Automation in Internal Audit: Using Robotic Process Automation and Cognitive Intelligence to Fortify the Third Line of Defense, États-Unis, 2018, https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/adopting-robotic-process-automation-in-internal-audit.pdf

Shini Menon, CISA, CDPSE, CSM, GRCP, GRCA, SA

Est un directeur en gouvernance, gestion des risques et conformité (GRC) chez Infosys Business Consulting. Elle a plus de 14 d’expérience de travail avec des clients du classement Fortune 100 et 500 des secteurs pharmaceutique, bancaire, des fonds de couverture, du détail et gouvernemental et a dirigé la mise en œuvre de programmes de grande à moyenne échelle en sécurité de l’information, définition des traitements et contrôles, gestion des risques, et gouvernance d’entreprise. Elle est expérimentée dans l’établissement et le développement de solutions GRC pour les exigences complexes de conformité réglementaire et d’audit. Elle a précédemment travaillé avec PwC, MetricStream, Oracle et Siemens Research. Elle a publié plusieurs documents sur la GRC, notamment avec the ISACA® Bangalore Chapter (Inde). Elle est membre de l’Open Compliance and Ethics Group (OCEG), de la Global Association of Risk Professionals (GARP), et d’autres consortiums notables. Menon a également remporté des distinctions en tant qu’accélérateur du numérique et « Be the Navigator », où elle a aidé à développer un moteur de recherche à mots-clés fondé sur des règles, et elle a dirigé plusieurs démonstrations de faisabilité sur l’intelligence artificielle et la conformité pharmaceutique basée sur Blockchain.