SOX a été conçu pour les humains. L’IA ne s’intègre pas dans ce modèle.
Depuis plus de deux décennies, les cadres d’assurance et de conformité reposent sur une hypothèse simple : les décisions matérielles sont prises par des personnes. La réinitialisation de l’assurance après la loi Sarbanes-Oxley (SOX) a fonctionné parce qu’elle a aligné la responsabilité avec le comportement humain. Cette hypothèse façonne la manière dont les contrôles internes sont conçus, comment la responsabilité est attribuée et comment l’assurance est délivrée.
Un modèle en mutation
Les contrôles entourent le jugement humain. La documentation explique le raisonnement humain. Les mécanismes d’escalade supposent qu’une personne ou un rôle spécifique peut être identifié, interrogé et tenu responsable lorsque des décisions sont remises en question.
L’intelligence artificielle (IA) perturbe lentement ce modèle, non pas en éliminant les contrôles, mais en introduisant un jugement non humain dans les environnements de contrôle, avec un design de gouvernance clairement en retard.
Une hypothèse de conception non revisitée
La réinitialisation de l’assurance post-SOX a réussi car elle a aligné la responsabilité avec le comportement humain. Les assertions de gestion, la documentation des contrôles, les pistes de vérification et les processus de remédiation partent du principe que les décisions proviennent d’opérateurs identifiables au sein de rôles définis. Ce design SOX a tenu, même après les crises subséquentes, car en fin de compte, le jugement restait humain, même s’il était imparfait.
L’IA change le point d’origine
À mesure que les systèmes automatisés influencent de plus en plus les prévisions, l’analytique, les approbations de transactions et l’interprétation des contrats, le jugement ne réside plus exclusivement entre les mains des humains. Il est intégré en amont dans les données d’entraînement, la logique des modèles, les seuils et le traitement des exceptions, souvent bien avant que les fonctions de conformité ou d’audit ne soient engagées. Le cadre de contrôle, cependant, reste largement inchangé.
Les défis de l’IA et de la conformité
Une grande partie des discussions actuelles autour de l’IA et de la conformité se concentre sur l’extension des cadres existants. Les praticiens explorent le test continu de SOX, une couverture de contrôle élargie, une documentation améliorée et des principes d’IA responsable pour maintenir les systèmes audités. Ces efforts sont importants, mais beaucoup de ce discours part d’un postulat non remis en question : que le modèle d’assurance lui-même reste solide, et que l’IA doit simplement être gouvernée à l’intérieur.
Ce qui reçoit moins d’attention, c’est de savoir si ce postulat tient toujours.
Quand le jugement évolue, mais les contrôles restent
Dans de nombreuses organisations, les systèmes d’IA sont introduits comme des outils d’efficacité plutôt que comme des décisions de gouvernance. La rapidité, la cohérence et l’échelle sont prioritaires. Les contrôles sont évalués après le déploiement. L’assurance est attendue en aval. Les équipes de conformité et d’audit sont chargées de valider des résultats sans visibilité sur le jugement intégré dans les systèmes qui les ont produits.
Des hypothèses anciennes, une exposition nouvelle
Le risque ne réside pas dans l’automatisation elle-même, mais dans le fait de permettre au jugement de migrer vers des modèles d’IA tout en maintenant des hypothèses de gouvernance ancrées dans des modèles de prise de décision humaine.
La question pour les leaders en conformité, en risque et en audit n’est plus de savoir si l’IA s’étendra. Cela se produira. La question plus pressante est de savoir si les hypothèses de gouvernance seront revisitées avant d’être mises à l’épreuve.
Si les cadres d’assurance ne peuvent pas expliquer comment les décisions sont prises, ils ne peuvent pas les défendre. Et lorsque la confiance est remise en question, l’explication, et non l’efficacité, est ce qui compte finalement.