Normes IA du PCAOB : Audits SOX et ICFR pour les DAF et NetSuite

Résumé analytique

Ce rapport examine la position évolutive du Public Company Accounting Oversight Board (PCAOB) sur l'intelligence artificielle (IA) dans le contexte de la conformité à la loi Sarbanes–Oxley (SOX) et des audits du contrôle interne sur l'information financière (ICFR), en mettant l'accent sur ce que les directeurs financiers (CFO) et les administrateurs NetSuite doivent savoir en 2026. Il passe en revue les activités récentes du PCAOB, l'établissement de normes et la sensibilisation du personnel concernant l'utilisation de l'IA et de l'IA générative (GenAI) dans l'information financière et les audits. Il synthétise également les orientations de groupes de parties prenantes tels que le COSO et les régulateurs internationaux, les données d'enquêtes sur les attitudes des CFO envers l'IA, ainsi que des exemples industriels illustratifs.

Les principales conclusions sont les suivantes :

• Engagement du PCAOB vis-à-vis de l'IA : Le PCAOB surveille et oriente activement l'intersection entre l'IA et l'audit. Entre 2022 et 2025, le PCAOB a réuni un groupe de travail Technology Innovation Alliance (TIA) (présidé par Christina Ho, membre du conseil) qui a publié des livrables sur les technologies émergentes. Le PCAOB a publié des amendements clarifiant les responsabilités des auditeurs lors de l'utilisation d'analyses assistées par la technologie (AS 1105 et AS 2301) ^{[1] [2]}, et a publié en juillet 2024 un « Spotlight » du personnel sur l'IA générative, notant que son utilisation actuelle dans les audits reste principalement limitée aux tâches administratives mais qu'elle évolue ^[3]. En septembre 2025, un membre du conseil du PCAOB a préconisé une orientation proactive sur l'IA, incluant des cadres de gestion des risques et des normes d'audit plus « agiles » pour suivre le rythme de l'innovation ^{[4] [5]}.

• Implications SOX/ICFR : Les CFO restent légalement responsables du maintien d'un ICFR efficace en vertu de la loi SOX. Des analyses d'experts récentes soulignent que les systèmes d'IA influençant les données financières font partie de l' environnement de contrôle SOX. Si l'IA « influence les chiffres, les estimations, les écritures comptables, les rapprochements ou les informations à fournir, elle devient partie intégrante de votre ICFR » ^[6]. Les auditeurs s'attendront à ce que toute utilisation de l'IA dans les processus financiers soit régie par des contrôles analogues à ceux des autres systèmes informatiques : contrôles d'accès, gestion des changements, validation des modèles, surveillance et supervision documentée ^[6]. Les utilisations à haut risque de l'IA incluent les écritures automatisées dans le grand livre ou la génération d'estimations clés ; la meilleure pratique consiste à conserver des contrôles « humains dans la boucle » avec des journaux de dérogation et des processus de gouvernance clairs ^[6].

• Adoption de l'IA en finance : Les attitudes des CFO envers l'IA sont mitigées mais généralement positives. Des enquêtes récentes montrent qu'une majorité de CFO de grandes entreprises considèrent l'IA comme stratégiquement importante. Par exemple, fin 2025, seuls 11 à 15 % des CFO avaient pleinement mis en œuvre l'IA en finance, mais environ 60 à 80 % prévoyaient de l'adopter pour au moins certaines fonctions ^{[7] [8]}. Les CFO citent les gains d'efficacité et d'analyse de données, mais s'inquiètent également des défis d'intégration des systèmes et de contrôle ^{[9] [7]}. Les commentaires de l'industrie soulignent que les CFO doivent assumer un rôle de gouvernance actif sur l'IA : assurer l'auditabilité, l'exactitude des données, la détection des biais et l'utilisation éthique (Source: insightfulcfo.blog) (Source: insightfulcfo.blog). Les cadres d'orientation internes (par exemple, la feuille de route GenAI du COSO, avril 2026) traduisent désormais les principes classiques de l'ICFR en contrôles spécifiques à la GenAI, soulignant que les résultats probabilistes de l'IA doivent toujours être gérés sous un contrôle interne et une surveillance rigoureux ^{[10] [11]}.

• NetSuite et l'IA : NetSuite (un système ERP cloud largement utilisé) a rapidement intégré des fonctionnalités d'IA entre 2024 et 2025, notamment une assistance textuelle générative pour la saisie de données, des outils d'aide à la tarification/configuration basés sur l'IA et des agents de support par chat ^{[12] [13]}. Les CFO et les administrateurs NetSuite doivent comprendre que ces flux de travail pilotés par l'IA recoupent les contrôles SOX. Par exemple, un agent IA qui configure les prix des produits ou rédige des textes financiers doit produire des pistes d'audit et être soumis à une révision de supervision. Les administrateurs NetSuite doivent configurer et surveiller attentivement les fonctionnalités d'IA (par exemple, journaliser les suggestions de l'IA, appliquer des flux d'approbation, protéger les données de prompt pour garantir l'intégrité des données et la conformité aux exigences de l'ICFR. Comme le montre la recherche de Deloitte, les CFO préfèrent massivement les capacités d'IA intégrées dans des plateformes financières de confiance, ce qui implique qu'Oracle/NetSuite continuera probablement à intégrer fortement l'IA ^[14]. Mais cela signifie également que les dirigeants financiers doivent adapter leurs cadres de contrôle pour couvrir les processus assistés par l'IA dans leur ERP.

• Alignement réglementaire et contexte mondial : Les autorités d'audit nationales et internationales s'alignent de plus en plus sur les promesses et les risques de l'IA. La politique américaine du PCAOB reflète une approche « favorable à l'innovation mais axée sur les preuves » : elle encourage une expérimentation prudente tout en clarifiant que la responsabilité de fournir des preuves suffisantes et de garantir la qualité de l'audit incombe toujours aux auditeurs ^{[1] [15]}. Notamment, le 30 mars 2026, le Financial Reporting Council (FRC) du Royaume-Uni a publié ses propres orientations pour les cabinets d'audit sur l'IA générative, déclarant explicitement que « le jugement professionnel et la responsabilité de l'auditeur restent » centraux, même si les cabinets accélèrent l'adoption de l'IA ^[15]. Les orientations du COSO d'avril 2026 sur la GenAI soulignent de même que l'IA ne change pas le besoin d'environnements de contrôle bien conçus, mais exige plutôt une « rigueur, une clarté et une traçabilité renouvelées » dans l'application des principes de contrôle établis ^{[10] [16]}.

Recommandations pour les CFO et les administrateurs NetSuite : Les CFO et les équipes financières doivent intégrer de manière proactive l'IA dans leurs évaluations des risques ICFR. Cela inclut la mise à jour de la documentation des processus pour couvrir les étapes liées à l'IA, la validation des outils d'IA avant utilisation et l'assurance que l'audit interne et les auditeurs externes ont une visibilité sur les processus d'IA. Les administrateurs NetSuite doivent inventorier les fonctionnalités d'IA de la suite, appliquer des configurations sécurisées et se coordonner avec les groupes de risque financier/informatique pour les tests et la surveillance. Les deux groupes de parties prenantes doivent s'engager tôt avec les auditeurs concernant toute intégration d'IA : comme le notent les responsables du PCAOB, assurer la transparence sur la manière dont les données sont utilisées et faire confiance aux auditeurs dans un rôle de « copilote » sera essentiel pour maintenir la confiance et la conformité ^{[3] [15]}.

Vous trouverez ci-dessous une analyse complète de ces questions, combinant des antécédents réglementaires détaillés, des données d'enquête, des commentaires d'experts et des exemples illustratifs. Toutes les affirmations sont étayées par des citations de communiqués du PCAOB, d'enquêtes industrielles, de documents d'orientation technique et d'autres sources crédibles.

Introduction

La loi Sarbanes–Oxley de 2002 (SOX) impose aux sociétés cotées aux États-Unis de maintenir un contrôle interne efficace sur l'information financière (ICFR). En vertu de la section 404 de la loi SOX, la direction doit certifier la conception et l'efficacité opérationnelle de l'ICFR, et ses auditeurs indépendants doivent attester de cette évaluation. Le Public Company Accounting Oversight Board (PCAOB) a été créé par la loi SOX pour superviser les cabinets d'audit et promulguer des normes pour les audits des sociétés cotées ^[17]. En remplissant son mandat — superviser des audits « informatifs, précis et indépendants » ^[17] — le PCAOB doit examiner comment les technologies émergentes comme l'intelligence artificielle affectent la fiabilité des processus d'audit et de l'information financière.

Ces dernières années, les technologies d'IA et d'apprentissage automatique (ML) sont devenues omniprésentes dans les entreprises et les fonctions financières. Les départements financiers utilisent l'analyse prédictive et même l'IA générative (GenAI) pour automatiser des tâches routinières telles que la saisie de données, la rédaction de rapports, les prévisions et la détection d'anomalies. De nombreux processus de back-office sont désormais partiellement ou totalement assistés par l'IA – par exemple, l'utilisation de la génération de langage naturel pour créer des informations narratives ou des chatbots pour répondre aux questions du personnel comptable. Les systèmes ERP comme Oracle NetSuite ont intégré des modules d'IA pour les suggestions de texte automatisées, les assistants de configuration de produits et la recherche intelligente (voir « L'IA dans NetSuite » ci-dessous) ^{[12] [13]}. Les auditeurs externes investissent également dans des outils d'audit pilotés par l'IA : les Big Four décrivent désormais fréquemment leurs méthodologies d'audit comme étant « axées sur l'IA », avec des plateformes propriétaires (par exemple, KPMG Clara, la plateforme d'audit NextGen de PwC) qui utilisent l'IA pour l'analyse de données, la notation des risques, l'analyse de contrats et même la transcription en langage naturel d'entretiens ^{[18] [19]}.

Cette adoption rapide de l'IA soulève des questions critiques pour l'écosystème de l'information financière. Du point de vue d'un CFO, les volets direction et auditeur de la conformité SOX sont tous deux impliqués. Si une entreprise utilise l'IA pour produire ou traiter des données financières, alors cette IA est effectivement un élément de l'environnement de contrôle de l'entreprise, et toute faiblesse pourrait compromettre l'ICFR. Les CFO doivent donc s'assurer que les processus pilotés par l'IA disposent d'une supervision et d'une auditabilité adéquates. Parallèlement, les auditeurs sont confrontés au défi d'intégrer ces nouvelles technologies dans leurs procédures d'audit sans compromettre la qualité des preuves. Le PCAOB et d'autres régulateurs sont aux prises avec la manière dont les normes existantes s'appliquent lorsque des outils d'IA génèrent des données ou effectuent des tâches d'audit.

Ce rapport explore la position du PCAOB sur l'IA dans le contexte des audits SOX/ICFR en 2026, et analyse les implications pour les CFO et les administrateurs NetSuite. Il fournit un contexte historique, passe en revue les développements des normes et des orientations du PCAOB, examine les perspectives des CFO et de l'industrie de l'audit, et considère des exemples de cas. Ce faisant, il aborde des questions telles que : Quelles orientations le PCAOB a-t-il données sur l'utilisation de l'IA par les auditeurs ? Comment la direction doit-elle penser l'IA dans les contrôles internes ? Comment les CFO perçoivent-ils l'adoption de l'IA, et que doivent-ils faire sur le plan opérationnel ? Et enfin, comment les fonctionnalités d'IA de pointe dans NetSuite et d'autres logiciels financiers recoupent-elles la conformité SOX ? En synthétisant les commentaires réglementaires, la recherche comptable et les idées des praticiens, ce rapport vise à informer les cadres financiers et les administrateurs système sur l'exploitation de l'IA tout en maintenant l'intégrité SOX/ICFR.

PCAOB et audit : contexte historique et technologie

Aperçu du PCAOB

Le PCAOB a été créé par la loi Sarbanes–Oxley de 2002 pour superviser les audits des sociétés cotées américaines ^[17]. Sa mission est de protéger les investisseurs en établissant des normes d'audit et en effectuant des inspections des cabinets d'audit enregistrés pour garantir des rapports d'audit indépendants et de haute qualité ^[17]. Les normes du PCAOB (appelées normes d'audit, ou AS) couvrent des sujets allant de l'évaluation des risques aux tests de corroboration en passant par le reporting. Par exemple, l'AS 2201 prescrit comment les auditeurs doivent auditer l'évaluation de l'ICFR par la direction (souvent appelée AS 5 dans les versions antérieures) lors de la réalisation d'un audit des états financiers.

Historiquement, les normes du PCAOB ont été neutres sur le plan technologique en ce sens qu'elles ne prescrivaient pas de technologies spécifiques à utiliser par les auditeurs ou les émetteurs. Pendant de nombreuses années, les auditeurs ont effectué la plupart des travaux manuellement ou avec un support informatique simple, et le PCAOB n'a pas imposé l'utilisation d'analyses avancées ou d'IA. Cependant, même il y a dix ans, le PCAOB reconnaissait que la technologie de l'information faisait partie intégrante des audits : en 2012, le PCAOB a adopté l'AS 2201 qui, entre autres, exige des auditeurs qu'ils acquièrent une compréhension des fonctions et des contrôles informatiques qui soutiennent l'ICFR. Le PCAOB a publié des orientations du personnel soulignant que les auditeurs doivent prendre en compte les contrôles généraux informatiques et les contrôles d'application lorsqu'ils s'appuient sur des informations électroniques ^{[1] [2]}.

À mesure que les volumes de données et les capacités analytiques ont augmenté, la portée de la surveillance du PCAOB s'est naturellement élargie. En 2018, le PCAOB a lancé une initiative sur les données et la technologie (Data and Technology Initiative) afin de déterminer si les normes existantes couvraient adéquatement les nouvelles technologies d'audit. En octobre 2020, il a publié une « Étude sur l'utilisation de la technologie dans l'audit des états financiers » (faisant partie du projet Data & Tech), évaluant des tendances telles que l'analyse de données et l'audit continu. Cette étude a reconnu que « les innovations technologiques [...] peuvent conduire à une amélioration de la qualité de l'audit, mais créent également de nouveaux risques d'audit » (par exemple, l'intégrité des données, le risque lié aux modèles). Elle a encouragé les auditeurs à adopter l'analyse de données, tout en soulignant que la responsabilité des preuves incombait à l'auditeur ^{[1] [20]}.

Analyse assistée par la technologie : mise à jour récente des normes du PCAOB

Le 12 juin 2024, le PCAOB a adopté des amendements visant à clarifier les responsabilités des auditeurs lors de l'utilisation de l'analyse assistée par la technologie (TAA) ^[1]. Ces amendements ont spécifiquement mis à jour les normes AS 1105 (« Éléments probants ») et AS 2301 (« Réponses de l'auditeur aux risques d'anomalies significatives ») pour traiter des procédures utilisant des ordinateurs et des algorithmes afin d'analyser des informations électroniques. Les points clés des amendements de 2024 incluent :

• L'accent mis sur l'obligation pour les auditeurs d'évaluer la fiabilité des informations électroniques utilisées comme éléments probants : si un auditeur teste les contrôles sur les informations électroniques, ces tests doivent inclure les contrôles informatiques généraux (ITGC) pertinents et les contrôles d'application automatisés ^[21]. Par exemple, si un modèle d'IA ou un logiciel génère des données de balance de vérification, l'auditeur doit prendre en compte les contrôles informatiques sous-jacents qui ont produit ces données ^[21].

• La clarification du fait que les preuves obtenues par la technologie (telles que l'analyse de populations complètes) peuvent servir à plusieurs fins dans l'audit, mais que l'auditeur doit s'assurer qu'elles répondent à la norme d'éléments probants suffisants et appropriés ^[22]. En d'autres termes, tirer des conclusions d'audit par le biais d'un processus assisté par l'IA ne dégage pas l'auditeur de son obligation d'obtenir des preuves de haute qualité conformes à la norme AS 1105.

• Le renforcement de la responsabilité des auditeurs quant à la conception et à la supervision des procédures, même lors de l'utilisation d'outils automatisés ^{[23] [22]}. La publication d'adoption indique explicitement que l'ajout de détails concernant la TAA vise à réduire le risque qu'une opinion d'audit soit émise sans avoir obtenu des « éléments probants suffisants et appropriés ». Notamment, la présidente du PCAOB, Erica Williams, a déclaré que ces amendements « aideraient deux normes essentielles à suivre l'évolution de l'utilisation de la technologie » et encourageraient l'utilisation de l'analyse de données ^[23].

Ces amendements entrent en vigueur pour les audits des exercices ouverts à compter du 15 décembre 2025 ^[24]. Ainsi, pour les audits de l'année civile 2026, tous les émetteurs et leurs auditeurs devront s'y conformer. Les directeurs financiers (CFO) doivent noter que les auditeurs auditeront désormais plus explicitement l'environnement informatique et la fiabilité des données. En pratique, cela signifie que les cabinets pourraient intégrer les contrôles informatiques généraux (ITGC) et les contrôles sur les modèles d'IA dans leurs tests de contrôle interne sur l'information financière (ICFR), et devront documenter la manière dont leurs programmes d'analyse (y compris les éventuels composants d'IA) ont été validés et supervisés. L'accent mis par le PCAOB porte sur la transparence et la suffisance des preuves, et non sur l'interdiction de l'utilisation de la technologie ; en effet, le Conseil a fait remarquer que ces changements « devraient dissiper la réticence de certains auditeurs [...] à utiliser l'analyse assistée par la technologie » sous l'empire d'anciennes normes ambiguës ^[23].

Citer ces normes. Le résumé du PCAOB à l'intention des auditeurs indique : « Depuis la publication des normes AS 1105 et AS 2301 en 2010, les avancées technologiques ont permis aux auditeurs d'étendre l'utilisation de l'analyse assistée par la technologie. Les amendements sont conçus pour réduire la probabilité qu'un auditeur effectuant des procédures d'audit à l'aide de l'analyse assistée par la technologie émette un rapport d'audit sans avoir obtenu des éléments probants suffisants et appropriés » ^[2]. Cela résume la position du PCAOB : il encourage l'utilisation de l'IA et de l'analyse de données pour renforcer la qualité de l'audit, mais insiste sur le fait que les auditeurs doivent conserver leurs responsabilités traditionnelles (par exemple, comprendre les systèmes informatiques, évaluer la fiabilité des données et juger les résultats) lorsqu'ils le font.

Activités récentes du PCAOB sur l'IA et la technologie

Recommandations du groupe de travail « Technology Innovation Alliance » (TIA)

En novembre 2022, le PCAOB a annoncé la création d'un groupe de travail sur l'alliance pour l'innovation technologique (Technology Innovation Alliance (TIA) Working Group) afin de conseiller sur l'impact des technologies émergentes sur les audits. L'objectif était que des technologues externes et des professionnels de l'audit recommandent la manière dont le PCAOB pourrait adapter sa surveillance et ses normes. Le TIA, présidé par Christina Ho, membre du conseil d'administration du PCAOB, a produit deux livrables majeurs :

• Livrable sur l'état actuel (30 août 2023) : Une étude résumant l'utilisation actuelle de la technologie par la profession d'audit et les attitudes à son égard. Elle a noté des tendances générales (par exemple, une forte demande d'auditeurs férus de technologie) et la sensibilité de la qualité de l'audit aux risques liés aux données et aux modèles.

• Livrable sur l'état futur (30 mai 2024) : Jusqu'à récemment interne, ce document a défini quatre « piliers stratégiques » pour l'orientation du PCAOB. Le rapport (publié publiquement par le PCAOB le 3 septembre 2025 ^[5]) préconise : (1) Documentation d'audit normalisée – créer des données structurées dans les dossiers de travail d'audit pour permettre la découverte par l'IA et l'audit continu. (2) Utilisation de l'IA dans l'audit – Un cadre ou des orientations pour une utilisation responsable de l'IA par les auditeurs, réduisant les obstacles perçus à l'adoption. (3) Laboratoire d'innovation réglementaire – un bac à sable (sandbox) d'innovation en technologie d'audit pour piloter des normes et partager les apprentissages avant l'élaboration formelle de règles. (4) Littératie technologique des auditeurs – encourager la formation et les programmes d'études en analyse de données et en IA pour les auditeurs ^[5].

Ces recommandations reflètent un large consensus sur le fait que l'IA peut améliorer matériellement la qualité de l'audit si elle est utilisée correctement. Le rapport du TIA qualifie explicitement l'innovation de « moteur qui améliore la qualité de l'audit » et exhorte le PCAOB à jouer un rôle de leader dans l'adoption sécurisée de l'IA ^[25]. Les directeurs financiers et les responsables technologiques doivent noter que le PCAOB réfléchit désormais en termes de promotion de l'IA (avec des garde-fous), et non simplement de réglementation contre les abus.

Discours des dirigeants du PCAOB

En septembre 2025, Christina Ho, membre du conseil d'administration du PCAOB (ancienne présidente du groupe de travail TIA), a prononcé un discours majeur intitulé « L'IA et la quête de la qualité de l'audit : une perspective réglementaire ». Elle a décrit les quatre piliers du TIA et a explicitement appelé le PCAOB à « assumer un nouveau rôle de leader » dans la promotion de l'innovation ^[26]. Points clés de ses remarques :

• Elle a décrit les normes technologiquement neutres comme une « ancre » qui peut involontairement freiner les progrès lorsque la technologie évolue rapidement ^[27]. Au lieu de cela, elle a plaidé pour des approches agiles et itératives d'établissement de normes adaptées à la technologie (considérant que l'IA nécessite une réponse réglementaire plus dynamique) ^{[28] [29]}.

• Elle a donné un exemple hypothétique : si un cabinet d'audit testait 100 % des écritures comptables à l'aide d'un outil d'IA au lieu d'un échantillonnage traditionnel, les auditeurs pourraient réellement améliorer la couverture. Mais sans directives claires, les inspecteurs du PCAOB pourraient réagir en exigeant des détails exhaustifs sur le modèle d'IA (exigeant que le cabinet « retourne chaque pierre »). Cela pourrait décourager le cabinet d'utiliser le test d'IA et le pousser à revenir à un échantillonnage manuel plus lent, ce qui, paradoxalement, réduirait la qualité ^[30]. La morale tirée est que le PCAOB devrait viser à être un moteur pour l'innovation plutôt qu'une ancre qui la retient ^{[31] [27]}.

• Elle a mis en avant le deuxième pilier du TIA (« Utilisation de l'IA dans l'audit »), appelant à des orientations et des principes de gestion des risques pour aider les cabinets à utiliser l'IA de manière responsable ^[4]. La clarté réglementaire, a-t-elle déclaré, incite les auditeurs à « tirer parti de la technologie efficacement », ce qui, en fin de compte, « favorise la qualité de l'audit » ^[4].

• Elle a annoncé (avec référence) un document co-écrit recommandant un processus d'« établissement de normes agile » : sprints itératifs, phases pilotes et implication continue des parties prenantes, plutôt que de simples longs processus de consultation publique ^[32].

Mme Ho a conclu en soulignant que, bien que la profession avance avec l'IA, le PCAOB doit « sortir de l'ombre » et publier les directives opportunes nécessaires pour aider les auditeurs à adopter l'IA et à améliorer la qualité de l'audit ^[33].

Pertinence : Bien que ces remarques reflètent les vues d'un seul membre du PCAOB (et non une règle officielle), elles signalent la direction prise par le Conseil. Le discours souligne que le PCAOB réfléchit sérieusement à la manière de favoriser l'utilisation de l'IA plutôt que de l'entraver. En pratique, cela pourrait signifier des directives du personnel à venir ou une attention accrue des inspections sur les risques liés à l'IA et les bonnes pratiques. Les directeurs financiers doivent anticiper que, lors des futures inspections du PCAOB, les auditeurs seront évalués sur la manière dont ils supervisent les processus d'IA et maintiennent les preuves, et non seulement sur le fait qu'ils utilisent des tests d'échantillonnage ou de l'IA.

Sensibilisation du personnel du PCAOB sur l'IA générative

Le 22 juillet 2024, le PCAOB a publié un « Staff Spotlight » (coup de projecteur du personnel) sur l'IA générative (GenAI) dans les audits ^[3]. Dans cette note de sensibilisation, le personnel du PCAOB a fait état de discussions avec les grands cabinets d'audit et les préparateurs d'états financiers sur l'intégration de la GenAI dans l'audit et le reporting. Les observations notables incluent :

• L'utilisation actuelle de la GenAI par les cabinets d'audit était « limitée mais évoluait rapidement ». Elle était principalement appliquée aux activités administratives et de recherche (par exemple, la rédaction de dossiers de travail, la recherche de sources faisant autorité) ^[3]. Cependant, les cabinets s'attendaient à ce que la GenAI puisse potentiellement être utilisée dans la planification ou les procédures de fond à l'avenir.

• Les cabinets investissent dans des outils de GenAI, mais reconnaissent également leurs limites. Ils ont souligné la nécessité d'une supervision rigoureuse de l'utilisation de la GenAI pour se prémunir contre des risques tels que la confidentialité des données et l'imprévisibilité connue des résultats de la GenAI ^[34].

• Parmi les préparateurs d'états financiers (la direction), l'intérêt pour la GenAI était élevé dans l'ensemble de l'entreprise, mais l'accent était relativement moins mis sur les processus comptables et de reporting financier à ce stade. En d'autres termes, bien que la GenAI soit largement utilisée dans les opérations et les domaines de front-office, peu d'organisations avaient encore profondément intégré la GenAI dans les processus comptables ^[35].

• Il est important de noter que le personnel du PCAOB a indiqué avoir contacté la plupart des réseaux mondiaux et des grands cabinets auditant la majorité de la capitalisation boursière, et qu'il continuait activement à surveiller les développements de l'utilisation de la GenAI par tous les cabinets d'audit ^[36].

Ce rapport « Spotlight » souligne qu'à la mi-2024, ni les auditeurs ni les entreprises n'avaient largement déployé la GenAI dans les travaux SOX, mais que tout le monde en reconnaissait le potentiel et avançait avec prudence. Pour les directeurs financiers, la conclusion est que les régulateurs sont conscients de l'utilisation de l'IA et attendent des entreprises qu'elles soient transparentes à ce sujet. Le PCAOB a explicitement invité les cabinets à partager leurs expériences avec la GenAI ^[36], signalant qu'ils évalueront les divulgations concernant les risques liés à l'IA. Les directeurs financiers doivent s'assurer que tout projet pilote ou outil d'IA utilisé en finance dispose d'une documentation et d'un suivi suffisants qui pourraient être partagés avec les auditeurs ou les régulateurs si nécessaire.

Autres activités du PCAOB

Le PCAOB continue de maintenir sa page de projet sur les données et la technologie, qui comprend des rapports du personnel et des ressources ^[37]. Il gère également des groupes consultatifs, et en janvier 2026, il a annoncé les membres de son groupe consultatif sur les normes et les questions émergentes (SEIAG) et de son groupe consultatif des investisseurs ^[38]. Bien que les chartes publiques de ces groupes ne mentionnent pas spécifiquement l'IA, les membres consultatifs incluent souvent des experts en technologie dont les contributions peuvent façonner les futures initiatives en matière de normes.

Dans l'ensemble, la position du PCAOB peut se résumer à une adoption contrôlée : il n'impose ni interdiction pure et simple ni restrictions strictes sur les outils d'IA, mais ne leur donne pas non plus carte blanche. Au lieu de cela, il clarifie les obligations des auditeurs (via des normes modifiées), mène des actions de sensibilisation (pour évaluer les besoins et les préoccupations) et encourage le dialogue sur les meilleures pratiques (via des groupes de travail et des discours). Le Conseil a reconnu la double préoccupation des auditeurs : ils souhaitent utiliser l'analyse de données et l'IA pour améliorer la couverture des audits, mais les régulateurs veulent s'assurer qu'une telle utilisation ne provoque pas par inadvertance des lacunes dans les preuves ou des risques de modèle incontrôlables.

IA et SOX/ICFR : Gestion des risques et considérations relatives aux contrôles

À mesure que les directeurs financiers (CFO) intègrent l'IA dans les processus financiers, des questions clés se posent : L'IA modifie-t-elle les règles de la loi Sarbanes-Oxley ? Sur le plan juridique, non. Indépendamment de la manière dont les données sont générées ou traitées, la direction d'une société cotée est toujours tenue de maintenir un ICFR efficace (tel que défini par le COSO ou des cadres similaires) ^{[10] [39]}, et d'inclure tout processus automatisé pertinent dans sa matrice de contrôle. Les auditeurs, à leur tour, doivent tester ces contrôles et obtenir des preuves suffisantes pour étayer leur opinion.

Cependant, l'IA introduit de nouvelles strates de risque dans l'ICFR :

• Opacité et explicabilité : De nombreux modèles d'IA/ML, en particulier les réseaux neuronaux complexes, sont des « boîtes noires » pour les utilisateurs finaux. Un CFO peut ne pas comprendre pleinement comment un algorithme parvient à une prévision ou à une classification. Cette opacité rend difficile la vérification du bon fonctionnement du modèle. Le COSO note que le « raisonnement opaque » de l'IA générative et ses reconfigurations fréquentes pourraient compromettre l'intégrité du reporting ^[40]. Les auditeurs attendront des organisations qu'elles y remédient en utilisant des modèles interprétables ou en mettant en œuvre des contrôles compensatoires pour assurer l'« explicabilité ».

• Qualité des données et biais : Les résultats de l'IA ne valent que ce que valent leurs données d'entrée. Si les données fournies à un système d'IA sont incomplètes, obsolètes ou biaisées, les résultats (prévisions, résumés de dossiers de travail, etc.) peuvent être matériellement erronés. Les CFO doivent garantir une gouvernance des données robuste. Par exemple, si un système d'IA est utilisé pour la prévision des revenus, les données de ventes historiques qui l'alimentent doivent être validées et nettoyées. Les auditeurs pourraient contester une confiance aveugle dans les prédictions de l'IA ; ils examineront probablement la traçabilité des données et les taux d'erreur.

• Dépendance et supervision humaine : Une approche trop passive est risquée. Si les auditeurs ou la direction acceptent simplement les résultats de l'IA sans examen, des anomalies importantes pourraient passer inaperçues. Le consensus parmi les professionnels de l'audit interne et de la gestion des risques est de maintenir des contrôles avec intervention humaine (human-in-the-loop). Comme l'indique une note consultative : « L'approche la plus sûre consiste à mettre en place des contrôles avec intervention humaine, assortis de seuils clairs, d'enregistrements des dérogations et d'un processus documenté de gouvernance des modèles » ^[6]. En pratique, cela signifie que toute estimation ou suggestion d'écriture comptable générée par l'IA doit être examinée par une personne compétente, et non acceptée automatiquement. Les CFO doivent documenter qui examine les résultats de l'IA et quelles tolérances (par exemple, seuils de variance) sont utilisées pour déclencher une intervention.

• Cybersécurité et confidentialité : Les systèmes d'IA nécessitent souvent une agrégation de données et, pour l'IA générative, peuvent impliquer l'envoi de données vers des LLM basés sur le cloud. Il existe un risque d'exposition d'informations financières ou personnelles sensibles. Les contrôles doivent garantir, par exemple, que les requêtes envoyées à un agent IA suppriment les informations d'identification ou utilisent des modèles sur site. Si les auditeurs constatent des preuves de flux de données non sécurisés ou d'un traitement inapproprié des données personnelles, cela constituerait une déficience de contrôle.

• Gestion du changement : Les systèmes d'IA évoluent avec le temps, surtout s'ils apprennent en continu ou reçoivent des mises à jour. Sans une gestion du changement appropriée, de nouvelles versions d'un algorithme pourraient se comporter de manière imprévisible. La norme AS 2301 modifiée du PCAOB souligne que la gestion du changement pour les contrôles automatisés relève de la responsabilité de l'auditeur ^[22]. Les CFO devraient traiter les ajustements de modèles comme tout changement informatique majeur : approbations, tests et documentation.

Ces risques spécifiques à l'IA doivent être intégrés dans le cadre ICFR existant (tel que les cinq composantes interdépendantes du COSO : environnement de contrôle, évaluation des risques, activités de contrôle, information/communication, pilotage) ^{[41] [42]}. Heureusement, les orientations du COSO d'avril 2026 traduisent chaque composante du COSO en pratiques spécifiques à l'IA générative. Par exemple, sous Activités de contrôle, il pourrait suggérer de vérifier que les règles de décision de l'IA sont examinées par la gestion des risques, et sous Activités de pilotage, il inclut l'audit des résultats de l'IA pour détecter toute dérive au fil du temps ^{[43] [42]}. Les CFO devraient obtenir et examiner le rapport du COSO sur l'IA générative, car il propose de nombreuses listes de contrôle concrètes pour la gouvernance de l'IA (par exemple, des modèles d'inventaires de risques liés à l'IA, des procédures de test de contrôle, des indicateurs) ^[44].

Attentes du PCAOB vis-à-vis des auditeurs et de la direction

Il est important de distinguer les responsabilités. Le PCAOB et les auditeurs réglementent le processus d'audit ; ils ne réglementent pas directement l'adoption de l'IA par la direction en soi. Cependant, les auditeurs doivent réagir à la manière dont la direction utilise l'IA. L'analyse de Ridgeway Financial déclare succinctement : « Si l'IA influence [le reporting financier], elle devient partie intégrante de votre ICFR » ^[6]. Cela signifie que la direction (y compris le CFO) doit identifier le rôle de l'IA dans chaque processus financier clé et concevoir des contrôles autour de celui-ci (par exemple, validation des modèles, séparation des tâches concernant les opérations d'IA). Les auditeurs vérifient ensuite ces contrôles et effectuent des tests qui peuvent inclure l'examen des modèles d'IA et de leurs résultats.

Du côté de l'audit, le PCAOB maintient clairement le principe selon lequel les auditeurs sont responsables de l'opinion d'audit, quelle que soit la sophistication technologique de l'approche d'audit. Par exemple, les orientations du FRC britannique (adoptées en mars 2026) soulignent : « Les entreprises et les personnes responsables doivent noter que la responsabilité réglementaire concernant le déploiement d'outils d'IA et la qualité des résultats d'audit reste inchangée. Comme l'indiquent les normes d'audit, l'auditeur humain est toujours responsable » ^[45]. De même, l'approche du PCAOB est que l'IA est un outil, mais que l'auditeur doit faire preuve de scepticisme professionnel et de jugement. La discussion de Deloitte sur « l'état d'esprit de l'auditeur dans un monde piloté par l'IA » souligne également que les auditeurs doivent évaluer la gouvernance et les risques de l'IA tout comme ils le feraient pour tout autre processus critique ^{[46] [47]}.

En résumé : les CFO sont propriétaires de l'ICFR, y compris des composants d'IA, et doivent s'assurer que les contrôles et les divulgations sont mis à jour en conséquence. Les auditeurs doivent s'assurer d'obtenir des preuves suffisantes malgré l'IA, et adapter leurs méthodes. La position du PCAOB est collaborative plutôt qu'antagoniste ; les inspecteurs ont noté que les entreprises commencent à tester des ensembles de données plus volumineux et à utiliser l'IA, et souhaitent obtenir des éclaircissements sur les pratiques acceptables. Les modifications apportées aux normes AS 1105/2301 indiquent que les inspecteurs rechercheront désormais spécifiquement des preuves de tests de contrôle informatique et d'IA ^{[21] [6]}. Les CFO doivent donc être prêts à discuter avec les auditeurs de toute utilisation matérielle de l'IA (par exemple, lors des revues de processus) et à démontrer comment ces outils sont gouvernés.

L'IA dans la fonction finance d'entreprise

Preuves issues des enquêtes auprès des CFO sur l'adoption de l'IA

Les enquêtes sectorielles révèlent que les départements FP&A et finance explorent activement l'IA, bien que le déploiement à grande échelle n'en soit qu'à ses débuts. L'enquête « CFO Survey 2025 » de Deloitte (Brésil) a révélé que 74 % des CFO prévoient d'adopter l'IA générative pour leurs activités financières, 15 % le faisant déjà ^[8]. L'enquête souligne que les CFO perçoivent l'IA comme synonyme d'efficacité accrue : par exemple, 80 % prévoient d'utiliser l'IA générative pour les tâches routinières, 60 % pour la planification/analyse et 48 % pour les services transactionnels ^[8]. Les principales préoccupations sont pragmatiques : 54 % s'inquiètent de l'intégration de l'IA avec les systèmes financiers existants, et 51 % de la formation du personnel à l'utilisation de l'IA ^[9].

Une enquête distincte de 2025 réalisée par L.E.K. Consulting auprès de CFO mondiaux rapporte des conclusions similaires ^[7]. Environ 60 % des CFO conviennent que l'IA sera l'une des technologies les plus marquantes dans la finance, mais seulement 11 % environ l'ont entièrement déployée en interne ^[7]. 35 % supplémentaires expérimentent des projets pilotes. Fait intéressant, 25 % utilisent déjà des fonctionnalités basées sur l'IA au sein de leur logiciel financier (par exemple, des modules de prévision prédictive), et 44 % supplémentaires prévoient de le faire d'ici 3 à 5 ans ^[7]. Surtout, une nette majorité de CFO (56 %) préfère des fonctionnalités d'IA intégrées à leurs plateformes financières existantes (comme leur ERP ou système comptable), contre 31 % qui souhaitent des applications autonomes spécialisées ^[14]. Cette tendance favorise les solutions intégrées de type NetSuite. Les CFO ayant adopté l'IA signalent des gains de productivité et de qualité, notamment dans l'automatisation des comptes fournisseurs/clients ^[48].

Point clé : Les CFO acceptent largement que l'IA est l'avenir de la finance, mais la plupart en sont encore aux premiers stades. Ils s'appuieront sur l'IA intégrée des fournisseurs (par exemple, NetSuite) plutôt que sur des ajouts complexes. Pour le public des CFO, cela signifie qu'il est temps de planifier l'impact de l'IA sur les processus contrôlés en interne. Même si l'adoption est partielle aujourd'hui, les données d'enquête suggèrent que les équipes financières disposeront de beaucoup plus de données pilotées par l'IA d'ici 2026-2027.

Principes de gestion des risques pour la finance

L'arrivée de l'IA incite à revigorer les cadres de contrôle interne :

• Alignement avec le cadre COSO : Le cadre intégré de contrôle interne (ICIF) du COSO reste le modèle faisant autorité pour les sociétés cotées américaines afin de concevoir leur ICFR. Les nouvelles orientations du COSO sur l'IA générative le réaffirment : elles ne remplacent pas les cinq composantes du COSO, mais les augmentent avec des pratiques spécifiques à l'IA ^{[10] [41]}. Les CFO devraient cartographier les éléments d'IA de leurs processus sur le cube COSO : par exemple, sous Environnement de contrôle, se demander si le comité d'audit comprend les risques liés à l'IA ; sous Activités de contrôle, s'assurer que l'examen des modèles est codifié ; sous Pilotage, mettre en place un tableau de bord de performance de l'IA.

• Biais et supervision éthique : Les CFO doivent surveiller les biais involontairement codés dans les outils de décision financière. Comme l'écrit un expert : « Le biais dans l'IA n'est pas toujours malveillant, mais il est toujours lourd de conséquences », pouvant perpétuer des inégalités historiques dans les paiements aux fournisseurs ou les hypothèses de crédit (Source: insightfulcfo.blog). Par exemple, une IA générative rédigeant une discussion de gestion pourrait sous-représenter les incertitudes présentes sur les marchés émergents, faussant ainsi les attentes des investisseurs. L'audit numérique des biais (par des tests de scénarios ou des vérifications d'équité) devrait faire partie de l'examen du groupe financier. En effet, les CFO assument, dans leur rôle de gardiens de la confiance, le mandat de « gouverner l'IA avec intégrité » et de s'assurer que les systèmes sont « précis, explicables [et] auditables » (Source: insightfulcfo.blog).

• Concept de « simulateur de vol » pour le CFO : Certains dirigeants financiers comparent la gouvernance de l'IA à la simulation du comportement d'un avion. Vous ne laisseriez jamais le pilote automatique voler sans l'avoir testé minutieusement ; de même, les CFO devraient simuler les résultats de l'IA et les soumettre à des tests de résistance. Par exemple, effectuez des tests d'« hallucination GPT » : posez des questions aux limites à un modèle de langage et comparez avec des réponses connues. Documentez ces résultats de test pour démontrer la diligence raisonnable.

• Piste d'audit et documentation : L'IA pouvant générer des résultats, les CFO doivent s'assurer que ces derniers restent traçables. Si l'IA CPQ de NetSuite recommande un lot de produits, ce conseil doit être consigné. Si un chatbot rédige une explication de variance, ce texte doit être lié à sa requête initiale et à la version du modèle. L'objectif est de maintenir une piste d'audit aussi bonne, voire meilleure, que celle des processus manuels. En effet, les orientations de Ridgeway appellent spécifiquement à une « preuve d'examen » pour les résultats de l'IA ^[6], impliquant des enregistrements de qui a examiné quoi et quand.

• Formation et gestion du changement : Les équipes des CFO devraient mettre à jour les descriptions de poste et la formation pour inclure la « supervision de l'IA ». Sans compétence parmi les utilisateurs, l'IA peut devenir une boîte noire utilisée sans précaution. Le quatrième pilier du COSO (Encourager la culture technologique) suggère de prévoir un budget pour la formation à l'IA dans les cursus comptables ^[49]. En interne, organisez des formations de rappel périodiques sur les aspects techniques et éthiques de l'utilisation de l'IA.

Perspective d'audit : L'IA comme outil d'audit

Les auditeurs intègrent également rapidement l'IA dans leur travail. Les quatre grands cabinets (Big Four) ont investi dans des plateformes d'audit alimentées par la science des données ou des interfaces génératives ^{[18] [19]}. Par exemple :

• KPMG a développé Audit Chat, un assistant d'IA générative, et d'autres outils d'IA générative (transcription vocale, analyseur de contrats). Dans un communiqué de presse de 2024, KPMG a fait état de 600 000 « conversations » d'utilisateurs avec son chatbot d'audit en six mois, aidant aux évaluations des risques et à la recherche ^[18]. KPMG souligne que ces outils sont « centrés sur l'humain » – chaque capacité d'IA est intégrée au jugement de l'auditeur et alignée sur les normes professionnelles ^[50].

• PwC commercialise une suite « Next Generation Audit » qui applique l'analyse prédictive et l'apprentissage automatique pour permettre une identification plus précoce des risques, une analyse comparative plus approfondie et une détection automatisée des anomalies ^[19]. Ils vantent le fait que « l'IA et les technologies émergentes ont ouvert de nouvelles possibilités » pour une qualité d'audit améliorée.

• Deloitte a publié des réflexions sur le rôle des auditeurs dans la gouvernance de l'IA. Par exemple, l'article de Deloitte intitulé « An auditor’s mindset in an AI-driven world » souligne qu'à mesure que les organisations déploient l'IA, les auditeurs peuvent tirer parti de leur expertise en matière d'évaluation des risques et de contrôles pour promouvoir la confiance et la transparence ^{[51] [47]}. L'article précise explicitement que les auditeurs travailleront avec les « trois lignes de défense » de la direction pour superviser l'IA : la direction assure le développement (première ligne), les fonctions de risque fournissent les cadres (deuxième ligne), et l'audit interne constitue la revue de troisième ligne ^{[52] [53]}.

• IAASB / AICPA / Autres organismes de normalisation : Les instances mondiales sont également actives. Par exemple, en mars 2026, le régulateur britannique de l'audit (FRC) a publié les toutes premières directives réglementaires sur l'IA générative et agentique dans les audits ^[54]. Ces directives fournissent aux cabinets d'audit un cadre conceptuel pour obtenir une confiance appropriée dans les résultats de l'IA, et incluent des exemples illustratifs (par exemple, l'utilisation de l'IA pour résumer les procès-verbaux de conseil d'administration ou analyser des contrats) ^[55]. Fait crucial, les directives du FRC réaffirment que « bien que la technologie change, le principe fondamental de notre cadre réglementaire ne change pas : ce sont les personnes… qui sont responsables de la qualité de l'audit » ^[15]. Cela s'aligne sur la position du PCAOB selon laquelle les outils d'IA ne remplacent pas le jugement de l'auditeur.

En somme, les auditeurs adoptent l'IA comme un moyen d'effectuer des examens plus complets (par exemple, tester 100 % des données au lieu d'échantillons), mais ils sont conscients que ce changement doit être accompagné de lignes directrices. Les amendements technologiques et les efforts de sensibilisation du PCAOB reflètent essentiellement ce sentiment : ils encouragent l'efficacité et la profondeur offertes par l'IA (par exemple, l'analyse de populations complètes) mais insistent sur la rigueur des preuves et de la compréhension. L'accent est mis initialement sur l'analyse de données et l'IA générative pour les « recherches et analyses », et non sur le fait de laisser l'IA valider des opinions ^[56].

Du point de vue du directeur financier (CFO), le résultat est probablement positif : les audits pourraient devenir plus axés sur les données et sans doute plus fiables si les cabinets utilisent correctement l'IA. Par exemple, des anomalies non détectées par échantillonnage discrétionnaire pourraient être signalées par des analyses algorithmiques. Cependant, les CFO doivent s'attendre à ce que les auditeurs posent davantage de questions sur l'environnement informatique/IA qu'auparavant. La direction devra expliquer les modèles d'IA aux auditeurs : quelles données d'entrée ils utilisent, comment ils ont été validés, quels paramètres sont cruciaux, etc. Construire cette compréhension dès maintenant peut faciliter les audits SOX ultérieurs.

NetSuite et l'IA : les contrôles en pratique

NetSuite, en tant qu'ERP cloud de premier plan, a été proactif dans l'ajout de fonctionnalités d'IA affectant les opérations financières. Début 2025, Oracle NetSuite a annoncé cinq capacités majeures d'IA générative pour ses clients ^[12]. Celles-ci incluent :

• Text Enhance pour les champs personnalisés : Utilise l'IA générative pour suggérer ou pré-remplir automatiquement des champs de texte personnalisés dans les formulaires NetSuite (par exemple, descriptions ou notes) en fonction des données historiques de l'entreprise. Les administrateurs peuvent configurer des invites via un « Prompt Studio » pour adapter le ton et le format ^[12].

• API de gestion des invites (Prompt Management API) : Une interface centralisée pour gérer les invites d'IA et les appels de modèles. Cela permet aux développeurs et intégrateurs SuiteCloud de créer des SuiteApps personnalisées qui invoquent des modèles de langage étendus (LLM), avec un contrôle sur le comportement des invites ^[57].

• Assistant IA NetSuite CPQ : Un agent de chat IA pour assister les processus de configuration-prix-devis (CPQ). Les commerciaux peuvent converser avec l'agent pour trouver des configurations de produits ; l'agent recommande des options de regroupement basées sur un dialogue en langage naturel ^[13].

• NetSuite Expert pour SuiteAnswers : Un assistant d'aide alimenté par l'IA. Les utilisateurs posent des questions en langage naturel sur les processus NetSuite, et l'agent effectue des recherches dans la base de connaissances de support pour fournir des réponses et des conseils ^[58].

Pour les administrateurs NetSuite, ces nouveaux outils signifient davantage de points de configuration et de contrôle :

• Qualité des données : Avec Text Enhance, l'IA peut insérer du texte basé sur n'importe quelle donnée existante. Les administrateurs doivent vérifier que les suggestions par défaut (par exemple, issues de descriptions de commandes historiques) restent exactes et à jour. Si les données d'entraînement de NetSuite incluent des entrées obsolètes ou mal classées, l'IA pourrait perpétuer les erreurs. Il peut donc être judicieux d'échantillonner périodiquement les entrées de champ générées par l'IA et de les comparer aux résultats réels, en ajustant les filtres ou les listes noires si nécessaire.

• Contrôles d'accès : L'API de gestion des invites délègue essentiellement les capacités d'IA aux SuiteApps. Les administrateurs doivent sécuriser ces API : s'assurer que seuls les scripts approuvés peuvent appeler les modèles d'IA, et que les données envoyées à l'IA (invites) ne contiennent pas de champs confidentiels. L'enregistrement de l'utilisation des invites (utilisateur, heure, contenu de l'invite) aidera lors des audits si des questions se posent sur les résultats de l'IA.

• Piste d'audit des approbations : Les suggestions générées par l'IA (par exemple, descriptions de journaux automatisées ou recommandations CPQ) ne devraient idéalement pas contourner les flux d'approbation existants. Par exemple, si Text Enhance remplit un mémo de journal, le processus habituel d'autorisation de cette entrée doit toujours s'appliquer. Chaque fois que l'IA remplit ou modifie un champ, ce changement doit être suivi dans l'historique du système avec l'identifiant utilisateur qui a accepté ou modifié la donnée. Cela garantit une piste d'audit.

• Explicabilité : Étant donné que les fonctionnalités d'IA de NetSuite sont génératives, les administrateurs doivent documenter la manière dont les décisions sont prises. Pour les processus hautement significatifs (comme les calculs de reconnaissance des revenus suggérés par l'IA), NetSuite peut proposer des journaux de sessions IA. Sinon, les entreprises pourraient avoir besoin d'enregistrer manuellement les invites et les réponses. Avoir une politique stipulant que les résultats d'IA à haut risque doivent inclure un « raisonnement » ou une justification peut faciliter les revues ultérieures.

• Humain dans la boucle (Human-in-the-Loop) : Les directives ICFR de Ridgeway conseillent de maintenir un « humain dans la boucle » avec des mécanismes de contournement et des seuils clairs ^[59]. Les flux de travail NetSuite peuvent renforcer cela. Par exemple, une politique pourrait stipuler que toute écriture de journal suggérée par l'IA dépassant un certain montant nécessite une vérification manuelle. Ou une étape de contrôle qualité pourrait être ajoutée, où un responsable de l'équipe financière examine chaque semaine un échantillon aléatoire de champs remplis par l'IA.

• Contrôle des fournisseurs et des versions : Les fonctionnalités d'IA de NetSuite peuvent être mises à jour fréquemment (puisqu'elles intègrent des LLM externes). Les administrateurs doivent allouer la responsabilité du suivi des notes de version, du test des nouvelles versions (surtout parce que les modèles génératifs peuvent changer de comportement avec les mises à jour) et de leur alignement avec la gestion du changement SOX.

En pratique, les administrateurs NetSuite et les équipes financières doivent collaborer. Les administrateurs peuvent configurer l'IA dans le système, mais les CFO/personnel ont besoin de politiques sur la façon de l'utiliser. Cette équipe interfonctionnelle devrait inclure l'audit interne ou le risque informatique afin que l'utilisation de l'IA soit visible lors de l'audit de l'environnement NetSuite.

Position de NetSuite : Il est à noter que NetSuite positionne ces outils d'IA comme des améliorations gratuites (« IA intégrée au cœur de la suite… sans coût supplémentaire » ^[60]). Cela réduit l'excuse d'un CFO pour retarder leur test, puisqu'ils font partie de la plateforme pour laquelle vous payez déjà. Mais le même communiqué de presse d'Oracle suggère également : la « manipulation basée sur des invites » est un risque ^[40]. En d'autres termes, donner les mauvaises invites pourrait produire des données trompeuses, et les CFO devraient être prudents quant aux invites utilisées ou stockées (surtout si elles risquent d'exposer par inadvertance la stratégie ou les prévisions à l'IA).

Contrôles et NetSuite : Tableau d'exemple

Le tableau ci-dessous résume quelques-unes des nouvelles fonctionnalités d'IA de NetSuite et les considérations de contrôle de haut niveau pour chacune :

(Les implications de contrôle ci-dessus sont illustratives ; les CFO et administrateurs NetSuite doivent les adapter en fonction du profil de risque de l'entreprise. Le guide ICFR de Ridgeway et le cadre GenAI du COSO peuvent être consultés pour des stratégies de contrôle plus granulaires ^{[59] [10]}.)

Études de cas et exemples

Bien que des études académiques complètes sur l'IA dans l'audit soient encore émergentes, plusieurs illustrations concrètes et projets pilotes éclairent ce à quoi les CFO peuvent s'attendre.

• Détection de fraude par IA : Certaines entreprises testent des algorithmes de détection d'anomalies sur les données de transaction (une forme d'apprentissage automatique non supervisé). Par exemple, MindBridge Ai propose une plateforme d'intelligence d'audit qui utilise l'apprentissage automatique pour noter et classer les anomalies de transaction ^[61]. Les auditeurs peuvent connecter un grand livre général à ces outils pour signaler les écritures suspectes. Les CFO envisageant des outils internes similaires doivent s'assurer qu'ils s'intègrent aux contrôles (ex: les éléments signalés déclenchent des rapports d'exception et des étapes d'investigation).

• ChatGPT pour l'analyse financière : Un CFO pourrait expérimenter l'IA générative (ex: ChatGPT ou un LLM spécifique à la finance) pour générer automatiquement des commentaires financiers mensuels ou des évaluations de risques. Un cas a rapporté qu'un département d'audit interne (Uniper) utilisait ChatGPT pour rationaliser la documentation d'audit ^[62]. Ils ont souligné qu'une telle utilisation de l'IA nécessitait une surveillance attentive : l'équipe d'audit a structuré les invites pour garantir l'exhaustivité, et les auditeurs ont toujours vérifié tous les résultats. Leçon clé : le texte génératif peut réduire le travail fastidieux, mais le résultat doit être vérifié.

• Échantillonnage d'audit vs test à 100 % : Le scénario statistique hypothétique du discours de Christina Ho au PCAOB (tester 100 % des journaux par IA vs échantillonnage) met en évidence un potentiel. En pratique, EY ou PwC pourraient déjà proposer des services d'« Audit Client Continu » qui se connectent aux systèmes ERP, où l'IA ou l'analyse de données examinent en continu les transactions. Si le NetSuite d'un CFO peut partager des données, les auditeurs pourraient évoluer vers des modèles plus continus. Mais pour toute entreprise le faisant, les auditeurs auditeront probablement le processus d'analyse lui-même : ils pourraient demander des détails sur le modèle d'IA, son entraînement et ses performances. Les CFO doivent être prêts à produire cela lors d'une inspection s'ils adoptent de telles approches.

• Différences municipales ou mondiales : Les CFO multinationaux doivent noter que les régulateurs étrangers sont également actifs. En Europe, les régulateurs d'audit et les normalisateurs étudient l'impact de l'IA. Par exemple, l'International Auditing and Assurance Standards Board (IAASB) a lancé un domaine d'intérêt technologique. Bien que cela n'affecte pas directement les normes du PCAOB américain, ces initiatives signalent que les tendances mondiales vont dans la même direction.

• Exemple de mauvaise utilisation (hypothétique) : Considérez un scénario (non rapporté mais illustratif) : une entreprise utilise un modèle d'IA pour estimer les réserves pour créances douteuses, en l'alimentant avec les radiations historiques. Si le modèle présente une erreur ou un biais (ex: surpondération d'une période historique en plein essor), la réserve sera erronée. Si ce modèle d'IA était traité comme une « boîte noire » et que la direction validait simplement son résultat, l'entreprise pourrait faire face à un retraitement SEC pour réserves mal déclarées. Un auditeur est formé pour être sceptique et testerait probablement le calcul de la réserve en le recalculant ou en analysant ses hypothèses. La direction doit donc s'assurer que les hypothèses et ajustements du modèle d'IA (le cas échéant) sont documentés pour que les auditeurs puissent les examiner.

Ces exemples renforcent le fait que la transparence et la revue sont primordiales. Les CFO peuvent coopérer avec les auditeurs pour piloter des outils d'IA, mais doivent le faire avec des plans de test explicites et des contrôles validés par l'audit interne avant que les résultats ne deviennent définitifs.

Implications et orientations futures

Collaboration auditeur-client

Compte tenu du rythme rapide du changement, les CFO devraient considérer les auditeurs comme des collaborateurs dans l'innovation. Comme l'a noté Christina Ho, membre du PCAOB, les régulateurs souhaitent de la clarté pour éviter un scénario où les cabinets « reviendraient à l'échantillonnage manuel parce que c'est moins risqué du point de vue de la conformité PCAOB » ^[31]. Pour éviter cela, les CFO et les auditeurs devraient discuter tôt : si la direction prévoit d'adopter un outil d'IA pour une fonction financière, partagez les prototypes ou les flux de données avec l'équipe d'audit. Peut-être que les auditeurs peuvent convenir d'une validation conjointe du résultat de l'IA. Cette planification mutuelle fait écho à l'appel à un « laboratoire d'innovation » dans l'audit, bien qu'informel au début.

Perspectives de normalisation

Le rapport TIA et le discours de Christina Ho suggèrent que de nouvelles normes ou directives du PCAOB pourraient voir le jour. Les CFO devraient surveiller le site Web du PCAOB et les actualités comptables professionnelles pour les mises à jour de l'AS 2201 (norme d'audit ICFR) ou de nouvelles alertes de pratique. Par exemple, le PCAOB pourrait émettre une alerte de pratique d'audit du personnel sur l'audit des résultats d'IA, similaire aux alertes passées sur l'informatique ou la fraude. Compte tenu de l'attention intense du PCAOB sur la technologie, une telle chose est plausible.

Développements réglementaires en cours

• Guide COSO sur l'IA générative (avril 2026) : Déjà publié, il fournit une feuille de route pratique des contrôles internes pour l'utilisation de l'IA générative ^{[10] [39]}. Les directeurs financiers (CFO) devraient intégrer ses recommandations dans leur évaluation des risques (par exemple, en utilisant la « taxonomie des capacités » de COSO concernant les cas d'usage et les contrôles de l'IA). De plus, le résumé DART de Deloitte (3 avril 2026) sur les orientations du COSO souligne que « le risque lié à l'IA générative est un défi de contrôle interne, et non un débat politique » ^[63].

• SEC et autres agences américaines : La SEC elle-même renforce ses capacités internes en matière d'IA et dispose d'un groupe de travail dédié (2025), mais n'a pas encore émis de règles spécifiques à la loi SOX concernant l'IA. Toutefois, les CFO doivent noter que la SEC exige déjà, dans les déclarations (de gestion) IFRS, de divulguer tout changement significatif apporté au contrôle interne, ce qui pourrait être interprété comme incluant des changements technologiques majeurs liés à l'IA. Les initiatives étatiques ou fédérales sur l'IA (par exemple, les normes NIST) pourraient finir par influencer les normes d'audit.

• Initiatives des cabinets d'audit : Attendez-vous à ce que les cabinets d'audit standardisent davantage leurs propres outils d'IA. Les grands cabinets pourraient exiger des clients l'utilisation de certaines plateformes (« fournissez vos données à nos outils d'IA ») ou lancer de nouveaux services tels que « l'audit IA du contrôle interne ». Les CFO devraient collaborer avec leurs auditeurs pour comprendre quels logiciels/plateformes seront utilisés lors de leurs audits, et quelles données/informations doivent être fournies pour les étayer.

NetSuite et feuilles de route des fournisseurs

Pour les utilisateurs de NetSuite, il est probable qu'Oracle continue d'ajouter des fonctionnalités pilotées par l'IA. Les nouvelles de février 2025 (voir ci-dessus) n'étaient qu'une des nombreuses améliorations prévues. Oracle pourrait également commencer à proposer des fonctionnalités de gouvernance de l'IA (par exemple, la journalisation au niveau du MDM ou des tests en environnement sandbox pour les configurations d'IA). Les CFO et les administrateurs devraient consulter la documentation d'Oracle sur la sécurité et la conformité concernant ces fonctionnalités d'IA. Il pourrait devenir courant pour les fournisseurs d'ERP cloud d'inclure des déclarations sur l'auditabilité des modules d'IA.

Formation et développement professionnel

Enfin, les CFO devraient investir dans la formation de leurs équipes. Les audits de la section 404 peuvent désormais inclure des questions sur l'IA, et le manque de familiarité n'est pas une excuse. Encourager les CFO et les contrôleurs de gestion à assister à des séminaires sur les risques liés à l'IA ou même à des formations continues (CPE) sur l'analyse de données sera bénéfique. Les administrateurs NetSuite devraient également suivre des formations (NetSuite propose des parcours d'apprentissage gratuits sur l'IA) ^[64]. Le quatrième pilier stratégique du PCAOB (promouvoir la culture technologique) anticipe ce besoin ^[49].

En résumé, 2026 représente une année de transition. Les premiers utilisateurs ont testé le terrain ; les régulateurs ont manifesté un vif intérêt. Les CFO qui mettent à jour de manière proactive leurs travaux SOX pour inclure les considérations liées à l'IA auront une longueur d'avance. Ceux qui ne le font pas pourraient faire face à des questions d'audit, voire à des constatations de contrôle (si, par exemple, les auditeurs signalent une lacune telle qu'une « gouvernance insuffisante du modèle d'IA »). En s'alignant sur les principes exprimés par le PCAOB et les organismes de surveillance, les responsables financiers peuvent transformer l'IA en un atout plutôt qu'en un passif pour la conformité et la prise de décision.

Conclusion

L'intelligence artificielle est sur le point de transformer la finance et l'audit. Pour les CFO et les administrateurs NetSuite, le message est clair : vous ne pouvez pas ignorer l'IA ni prétendre qu'elle ne fait pas partie de votre environnement de contrôle. Le PCAOB a pris des mesures préliminaires pour clarifier la manière dont les auditeurs doivent gérer les travaux d'audit assistés par la technologie, et les régulateurs du monde entier codifient des orientations pour gérer les risques liés à l'IA. Parallèlement, les forces du marché poussent à l'adoption de cette technologie : les enquêtes auprès des CFO et les feuilles de route des fournisseurs d'ERP montrent que l'intégration de l'IA s'accélère.

Par conséquent, une approche proactive est nécessaire. Les CFO devraient définir une stratégie d'IA qui équilibre innovation et diligence : adopter l'IA pour l'efficacité et la perspicacité, mais construire des contrôles, une documentation et une formation robustes autour de celle-ci. NetSuite et les systèmes similaires continueront de publier des fonctionnalités pilotées par l'IA ; les équipes financières avisées tireront parti de ces fonctionnalités tout en insistant sur les pistes d'audit, les contrôles de dérogation et une surveillance continue.

Du côté de l'audit, la position du PCAOB peut se résumer ainsi : « Utilisez l'IA pour améliorer la qualité de l'audit, mais ne négligez pas les fondamentaux. » Cela signifie qu'il faut s'attendre à une collecte de preuves plus sophistiquée (comme l'analyse de données) en vertu des normes modifiées ^[1], mais aussi à un audit garantissant la fiabilité de ces technologies. Cela signifie également communiquer avec vos auditeurs sur tout outil d'IA utilisé dans vos processus financiers, afin qu'ils en soient conscients et puissent évaluer les risques associés. Comme l'a souligné un responsable du PCAOB, le conseil souhaite que les auditeurs « réalisent des audits de haute qualité en utilisant des analyses assistées par la technologie » ^[23] – un appel qui s'étend implicitement aux auditeurs chargés d'examiner l'utilisation de l'IA par leurs clients.

Enfin, les perspectives sont claires : l'importance de l'IA ne fera que croître. Les futurs travaux réglementaires seront probablement destinés à encourager l'IA dans les audits (par le biais d'orientations et éventuellement de nouvelles normes) et à exiger de la discipline dans son application au reporting financier. Si les CFO et les administrateurs NetSuite restent informés et tournés vers l'avenir, ils respecteront non seulement les exigences de la loi SOX, mais pourraient également obtenir un avantage concurrentiel grâce à des opérations financières plus intelligentes et optimisées par l'IA. Le parcours impliquera des essais et des erreurs, mais en ancrant le déploiement de l'IA dans les principes de contrôle interne et de preuve d'audit, l'organisation financière peut s'aventurer en toute sécurité vers cette nouvelle frontière.

Références

Toutes les références sont fournies ci-dessus dans la notation [source†L…], correspondant aux URL et aux numéros de ligne des documents du PCAOB, du COSO, de Deloitte, de KPMG, d'Oracle NetSuite, ainsi qu'aux sources académiques et journalistiques citées. Le site Web et les communiqués de presse du PCAOB ont été les sources principales pour les mises à jour réglementaires ^{[3] [1]}. Les enquêtes sectorielles (Deloitte, L.E.K.) et les commentaires professionnels (COSO, Ridgeway Financial, Deloitte, etc.) ont fourni des perspectives de praticiens ^{[8] [7]} (Source: insightfulcfo.blog) ^[6]. Le cas échéant, les orientations réglementaires mondiales (orientations du FRC sur l'IA générative) et des articles académiques ont également été cités ^{[15] [46]}. Chaque affirmation citée ou paraphrasée ci-dessus est étayée par une ou plusieurs de ces sources faisant autorité.