Principes déontologiques à respecter par le commissaire aux comptes face aux technologies professionnelles

Publié le 20 mai 2025 à 17:23

Dans un environnement où les technologies professionnelles (logiciels d’analyse, RPA, plateformes de data analytics, IA, blockchain, etc.) sont de plus en plus intégrées aux missions d’audit, le commissaire aux comptes doit rester vigilant quant au respect des principes déontologiques qui fondent sa profession. Que ces outils soient développés en interne par des informaticiens ou fournis par des éditeurs tiers, ils ne sauraient remplacer la rigueur, l’indépendance et la responsabilité qui caractérisent la mission du CAC. Cet article balaie les grands principes déontologiques applicables à l’usage de ces technologies, afin de garantir la fiabilité, l’éthique et la crédibilité de l’audit.

1. Indépendance et absence de conflit d’intérêts

 

  • Séparation de la fourniture de services : le CAC ne doit pas être associé directement à la conception ou au développement des outils qu’il utilise, sous peine de compromission de son objectivité. Si le cabinet produit lui‑même le logiciel, il convient de mettre en place un « firewall » organisationnel entre l’équipe de développement et l’équipe d’audit.

  • Transparence vis‑à‑vis du client et des tiers : informer clairement le comité d’audit et la direction financière des relations contractuelles (licences, maintenance, prestations de conseil) nouées avec l’éditeur ou l’équipe technique.

  • Vérification des liens capitalistiques ou partenariaux : s’assurer qu’aucune prise de participation ou lien financier n’existe entre le cabinet d’audit et le fournisseur de la technologie, afin d’éviter toute suspicion de favoritisme.

 

2. Compétence et diligence professionnelle

 

  • Qualification des prestataires : avant d’adopter une nouvelle technologie, évaluer la solidité, l’expérience et la réputation de ses auteurs : antécédents, références clients, conformité réglementaire (ISO 27001, SOC 2, RGPD).

  • Maîtrise des paramètres et des limites : comprendre les méthodes statistiques, algorithmes ou règles métiers implémentées dans l’outil pour en connaître les cas d’usage, les zones d’ombre et les marges d’erreur.

  • Tests et validations préalables : réaliser des phases de pilote sur des données simulées ou historiques pour mesurer le taux de détection d’anomalies, le taux de faux positifs et la robustesse face à des scénarios de fraude ou d’erreurs atypiques.

  • Mise à jour et veille technique : intégrer une veille sur les évolutions du marché et des normes technologiques pour éviter l’obsolescence et garantir une performance constante.

 

3. Secret professionnel et protection des données

 

  • Conformité RGPD : s’assurer que tout traitement automatisé respecte les principes de minimisation, de sécurisation et de durée de conservation. À défaut, appliquer pseudonymisation ou anonymisation.

  • Hébergement et chiffrement : exiger des prestataires qu’ils stockent les données sur des infrastructures sécurisées, avec chiffrement au repos et en transit, et procédures de gestion des clés.

  • Contrats et clauses de confidentialité : inclure dans les accords de service des engagements stricts sur la non-divulgation et la non‑réutilisation des données à des fins de R&D ou commerciales.

 

4. Comportement professionnel et transparence

 

  • Information préalable du client : expliciter dans la lettre de mission l’usage des technologies (nature des traitements, périmètre, responsabilités respectives).

  • Explicabilité et traçabilité : privilégier des outils « black‑box » accompagnés de mécanismes d’explication (logs, reportings, tableaux de bord) pour pouvoir justifier chaque sélection ou alerte générée.

  • Reporting clair : intégrer dans le rapport de mission une annexe détaillant les algorithmes utilisés, leurs paramètres, les écarts constatés et les éventuelles limitations.

 

5. Responsabilité et rôle humain

 

  • Responsabilité finale du commissaire aux comptes : l’outil technologique n’est jamais décisionnaire ; le CAC conserve le rôle de synthèse, d’interprétation et de validation des constats.

  • Supervision et revue humaine : tout résultat produit automatiquement doit faire l’objet d’une revue critique par un auditeur expérimenté, qui porte les corrections et ajustements nécessaires.

  • Assurance des risques technologiques : envisager une couverture ad hoc (cyber‑responsabilité, erreurs logicielles) et prévoir dans les contrats une clause indemnitaire contre les défaillances majeures de l’outil.

 

6. Gouvernance et formation continue

 

  • Charte interne IA & Tech : formaliser les bonnes pratiques, processus d’homologation et modalités de suivi des prestataires technologiques.

  • Comité de pilotage technologique : institué au sein du cabinet, ce comité valide les projets d’adoption, suit les performances et anticipe les risques nouveaux.

  • Formation obligatoire : organiser des sessions régulières sur la compréhension des algorithmes, la cybersécurité, la gestion de la donnée et l’éthique numérique.

 

L’intégration des technologies professionnelles dans l’audit offre des gains significatifs en termes d’efficacité, de couverture et de précision. Toutefois, ces avantages ne doivent pas se faire au détriment des exigences déontologiques qui fondent la confiance du marché financier. En appliquant rigoureusement les principes d’indépendance, de compétence, de confidentialité, de transparence et de responsabilité à leur usage des outils technologiques, les commissaires aux comptes préservent la qualité de leur mission et renforcent la crédibilité de leurs travaux. Une gouvernance interne solide et une formation continue sont les clés pour concilier innovation et intégrité professionnelle.

«   »

Ajouter un commentaire

Commentaires

Il n'y a pas encore de commentaire.