L’intelligence artificielle (« IA ») est très prometteuse et l’étude de ses cas d’utilisation suscite beaucoup d’enthousiasme, particulièrement en ce qui concerne l’IA générative. À l’instar de toutes les tentatives d’innovation, l’intelligence artificielle connaît des fortunes diverses qui dépassent parfois les attentes.Contre toute attente, les échecs des cas d’utilisation de l’IA sont plus souvent causés par la gouvernance que par la technologie. C’est pour cette raison que les comités d’audit jouent un rôle déterminant dans le succès des cas d’utilisation de l’IA. En supervisant le déploiement de l’IA, les comités sont en mesure de contribuer à renforcer la confiance envers cette innovation, et de contenir les risques qu’elle représente, ce qui favorise une adoption plus harmonieuse, plus généralisée et plus pérenne.

Certes, l’IA existe depuis de nombreuses années, mais son utilisation s’est largement imposée récemment avec l’adoption à grande échelle de l’IA générative, qui peut, au moyen des requêtes des utilisateurs, créer du contenu original comme du texte, des images, du son et des vidéos. Aujourd’hui, 59 % des organisations canadiennes consacrent plus de 10 % de leur budget informatique à l’IA. De plus, selon une étude de KPMG l’adoption de l’IA générative progresse à un rythme tel que la moitié des travailleurs canadiens l’utiliseront d’ici 2026.1,2

Le déploiement de l’IA générative est en cours à tous les niveaux de l’entreprise en tant que solutions exclusives et par l’entremise de fournisseurs de logiciels-services qui l’intègrent de plus en plus à leurs produits. Dans la plupart des cas, ces déploiements prennent la forme soit d’outils de productivité capables d’effectuer des tâches telles que la transcription ou la rédaction de courriels, soit d’outils basés sur les connaissances qui puisent dans un ensemble de données à jour et utilisent l’IA générative dès le départ pour répondre aux demandes.

Animated circle statistical graphic showing % Graphique statistique en cercle animé montrant % 59%

59 % des organisations canadiennes consacrent plus de 10 % de leur budget informatique à l’IA

L’arrivée de l’IA dans les fonctions finance et audit

L’IA est appliquée à grande échelle dans l’information financière et l’audit. Selon l’article de KPMG intitulé Nouvelle ère : IA en information financière et en audit, 87 % des organisations canadiennes mettent à l’essai ou utilisent l’IA dans leur information financière et 100 % d’entre elles prévoient de l’intégrer dans au moins un de leurs processus d’information financière.3 En effet, elle permet d’améliorer la qualité des données, d’analyser les tendances, d’établir des prévisions et de prendre de meilleures décisions fondées sur les données.

En outre, des algorithmes sont mis au point et appliqués pour auditer les états financiers. Ces algorithmes peuvent être utiles lorsque des rapports concernant de nombreuses années antérieures ou filiales doivent être analysés. L’utilisation à grande échelle de l’IA dans les entreprises est relativement nouvelle, mais les trois quarts des organisations considèrent déjà qu’il est au moins modérément important que leur auditeur externe ait recours à cette technologie.4

Quant à eux, les comités d’audit doivent s’assurer de comprendre comment l’IA est utilisée dans les fonctions finance et audit, et veiller à ce que la direction et les auditeurs sachent de quelle manière elle est utilisée. Il conviendrait de mettre en place un cadre de valeur en faveur de l’efficacité du déploiement de l’IA, notamment des indicateurs clés de performance (« ICP »), et de surveiller son application. Ces ICP devraient ensuite faire l’objet de rapports réguliers au comité, et l’IA devrait toujours figurer à l’ordre du jour des réunions du conseil d’administration et des comités.

La direction doit expliquer au comité comment elle veille à l’exactitude et à la fiabilité des données qui alimentent les algorithmes d’IA, ainsi qu’à la protection adéquate de ces données et des résultats qui en découlent. De leur côté, les comités devront interroger la direction sur les précautions qu’elle prend pour s’assurer que, lorsque l’IA générative est utilisée pour accéder aux données, elle ne fournit que les données qui sont nécessaires, et ce, uniquement aux utilisateurs autorisés.

Les comités devraient également comprendre comment leurs auditeurs utilisent les outils automatisés dans le cadre de leur audit et comment ils intègrent l’IA, y compris la façon dont l’algorithme d’IA a été entraîné et testé pour parvenir à ses conclusions et la façon dont l’auditeur s’est assuré que les informations confidentielles sur les émetteurs assujettis n’ont pas été communiquées.5

Animated circle statistical graphic showing % Graphique statistique en cercle animé montrant % 87%

87 % des organisations canadiennes utilisent l’IA dans leur information financière

La confiance est essentielle

L’attitude des employés à l’égard de l’IA oscille entre l’enthousiasme et l’hésitation. La confiance est donc essentielle pour assurer l’adoption de cette technologie. Pour être crédibles, les solutions d’IA doivent être transparentes, explicables et impartiales envers les personnes et les groupes. Les données sur lesquelles elles reposent doivent être exhaustives, exactes, appropriées et recueillies conformément à tous les textes légaux et réglementaires applicables. Les solutions d’IA doivent être conçues et mises en œuvre en toute sécurité, dans le cadre de politiques et de procédures de protection des données, et être inoffensives pour l’être humain, les entreprises et les biens. Les comités d’audit devraient interroger la direction sur la façon dont elle s’assure que le déploiement de l’IA est crédible. Cette surveillance peut, à son tour, contribuer à renforcer la confiance et à favoriser une plus grande aisance dans l’utilisation de l’IA.

Les pratiques en matière de gestion du personnel peuvent également contribuer à favoriser l’adoption de l’IA. Bien qu’il soit nécessaire d’acquérir de nouveaux talents spécialisés dans l’IA et que ces talents soient au cœur des efforts de la plupart des organisations en matière d’IA, il est également impératif de former les utilisateurs aux applications de l’IA. La direction, les membres du conseil d’administration et le comité d’audit doivent également être suffisamment informés pour comprendre les solutions utilisées et ce qu’ils doivent rechercher du point de vue de la gouvernance.

Repenser la gestion des risques liés aux tiers

De nombreuses organisations adoptent un modèle hybride dans lequel on retrouve tant des plateformes de fournisseurs que des plateformes conçues à l’interne et élaborées à partir de modèles de code source libre pour déployer l’IA. L’une des principales lacunes que nous avons relevées dans le cadre de nos examens est les manquements de la gestion des risques liés aux tiers dans l’encadrement de l’utilisation de l’IA par les fournisseurs. Il est d’usage d’évaluer les risques liés aux nouveaux fournisseurs, puis de les réévaluer à intervalles réguliers en fonction du niveau de risque. Par exemple, la direction peut compléter ses processus établis au moyen de tests et d’examens réalisés par des tiers en demandant un rapport sur les contrôles au niveau du système ou de l’organisation (SOC) pour comprendre si les bons contrôles sont en place. Les rapports SOC demeurent rares dans le domaine de l’IA en raison de l’absence actuelle de lignes directrices établies, mais leur utilisation devrait être plus répandue à l’avenir.

Un fournisseur à faible risque pourrait faire l’objet d’une réévaluation à quelques années d’intervalle, mais s’il se met à utiliser l’IA dans son logiciel-service ou s’il modifie sa façon d’utiliser l’IA, le modèle actuel de gestion des risques liés aux tiers pourrait être dépourvu d’élément déclencheur pour alerter l’organisation cliente de ce changement et l’inciter à entreprendre un examen. Les politiques en matière de gestion des risques liés aux tiers doivent être repensées pour inclure des éléments déclencheurs qui permettent à l’organisation d’effectuer une revue avant la réévaluation prévue. Les comités d’audit doivent demander à la direction comment elle adapte ses politiques de gestion des risques liés aux tiers en fonction de l’utilisation de l’IA faite par les fournisseurs.

Réglementation à venir

L’intelligence artificielle ne date pas d’hier, mais la réglementation en la matière n’a pas progressé au même rythme que cette technologie. Au Canada, l’IA ne fait l’objet d’aucun texte réglementaire, mais le gouvernement canadien a néanmoins mis de l’avant la Loi sur l’intelligence artificielle et les données (« LIAD »).6 Présentée dans le cadre du projet de loi C-27, la LIAD est actuellement à l’étude en comité à la Chambre des communes, de sorte que ses règlements définitifs et sa date de mise en œuvre demeurent incertains.7 Dans l’intervalle, le gouvernement canadien a publié le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés.8

Le Bureau du surintendant des institutions financières (« BSIF ») a également proposé des règlements sous la forme d’une Version à l’étude de la ligne directrice E-23 – Gestion du risque de modélisation.9 Les consultations sur la ligne directrice proposée sont terminées, mais le calendrier de la version définitive demeure incertain. Les comités d’audit doivent s’assurer que la direction surveille les règlements potentiels sur l’IA et se prépare à leur mise en œuvre.

En plus du Code de conduite volontaire, les organisations qui souhaitent obtenir des lignes directrices sur les règlements en suspens peuvent consulter le règlement de l’Union européenne (« UE ») sur l’IA, qui est entré en vigueur en août 2024 et sera progressivement mis en œuvre au cours des deux prochaines années.10 Il est probable que ce règlement ouvre la voie à une réglementation mondiale de l’IA, à l’instar du règlement général sur la protection des données (« RGPD ») de l’UE relativement à la protection de la vie privée et des données. Les comités d’audit devraient s’assurer qu’eux-mêmes et la direction connaissent les principes sur lesquels se fonde le règlement de l’UE sur l’IA et que l’utilisation de celle-ci au sein de l’organisation respecte ces principes.

Bien que la surveillance de l’IA par le comité d’audit soit nécessaire et importante, la création d’un comité de gouvernance de l’IA est également recommandée. Ce comité devrait être composé de membres bien au fait des questions technologiques, juridiques, opérationnelles et de protection des renseignements personnels, ainsi que d’un membre qui connaît bien le service du marketing, puisqu’il s’agit d’un domaine dans lequel l’IA générative et la façon dont elle interagit avec les clients peuvent présenter des risques importants.

Certains employés et gestionnaires peuvent avoir le sentiment que les questions du comité d’audit nuisent à la créativité, à l’innovation et au progrès. Toutefois, si l’IA est adoptée d’une manière digne de confiance, dans le respect des réglementations à venir, et que les fournisseurs sont surveillés adéquatement, son adoption à l’échelle de l’organisation en sera favorisée et son déploiement ne devrait pas rester au point mort ou être abandonné. En participant à cette surveillance, les comités d’audit peuvent contribuer au succès du déploiement de l’IA.

Questions que les comités d’audit devraient poser :
  • Comment cernons-nous les nouveaux risques découlant de l’IA et de l’IA générative, et comment y faisons-nous face?
  • Comment nous assurons-nous que notre cadre pour l’IA est digne de confiance?
  • Comment évaluons-nous l’efficacité du déploiement de notre IA?
  • Comment nous assurons-nous que les travailleurs de première ligne, les membres de la direction et du conseil d’administration ont suivi une formation adéquate sur l’IA et les solutions que nous déployons?
  • Fondons-nous notre réseau d’IA conformément aux principes qui guident la réglementation actuelle à l’échelle mondiale?
  • Comment notre auditeur utilise-t-il la technologie de l’IA dans le cadre de son audit et quel type d’outils utilise-t-il (IA traditionnelle ou générative)?
  • Quelles sont les mesures de protection en place pour assurer l’exactitude des éléments probants générés par l’IA?
  • Quelle formation nos auditeurs reçoivent-ils pour s’assurer qu’ils utilisent les outils d’IA de manière appropriée dans le cadre de l’audit, y compris toute conclusion tirée à partir des résultats?

Parcourez d'autres articles de la série Accélération

Ressources et analyses

Communiquez avec nous

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Communiquez avec nous


  1.  KPMG au Canada, « Nouvelle ère : IA en information financière et en audit », mai 2024.
  2. KPMG au Canada, « L’IA au service de toutes les entreprises », avril 2024.
  3. KPMG au Canada, « Nouvelle ère : IA en information financière et en audit », mai 2024.
  4. KPMG au Canada, « Nouvelle ère : IA en information financière et en audit », mai 2024.
  5. Conseil canadien sur la reddition de comptes, « Rapport d’informations sur la qualité de l’audit du CCRC : RÉSULTATS INTERMÉDIAIRES DES INSPECTIONS DE 2024 », octobre 2024.
  6. Innovation, Sciences et Développement économique Canada, « La Loi sur l’intelligence artificielle et les données (LIAD) – document complémentaire », Gouvernement du Canada, mars 2023. 
  7. Parlement du Canada, « Loi de 2022 sur la mise en œuvre de la Charte du numérique », 22 novembre 2021.
  8. Innovation, Sciences et Développement économique Canada, « Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés », Gouvernement du Canada, septembre 2023.
  9. Bureau du surintendant des institutions financières, « Version à l’étude de la ligne directrice E-23 –- Gestion du risque de modélisation », 30 septembre 2017.
  10. Commission européenne, « Entrée en vigueur du règlement européen sur l’intelligence artificielle », 31 juillet 2024.