SOX a été conçu pour les humains. L’IA ne correspond pas à ce modèle.
Depuis plus de deux décennies, les cadres d’assurance et de conformité reposent sur une hypothèse simple : les décisions matérielles sont prises par des personnes. La réinitialisation de l’assurance post-Sarbanes-Oxley (SOX) a fonctionné parce qu’elle a aligné la responsabilité sur le comportement humain. Cette hypothèse façonne la conception des contrôles internes, l’attribution des responsabilités et la manière dont l’assurance est fournie.
Les contrôles entourent le jugement humain. La documentation explique le raisonnement humain. Les mécanismes d’escalade supposent qu’une personne ou un rôle spécifique peut être identifié, interrogé et tenu responsable lorsque des décisions sont contestées.
Une hypothèse de conception non revisitée
La réinitialisation de l’assurance post-SOX a fonctionné parce qu’elle a aligné la responsabilité sur le comportement humain. Les assertions de gestion, la documentation des contrôles, les pistes de vérification et les processus de remédiation supposaient toutes que les décisions provenaient d’opérateurs identifiables au sein de rôles définis. Cette conception de SOX a tenu, même après les crises ultérieures, car au final, le jugement restait humain, même s’il était imparfait.
L’intelligence artificielle (IA) change le point d’origine.
À mesure que les systèmes automatisés influencent de plus en plus les prévisions, l’analyse, les approbations de transactions et l’interprétation des contrats, le jugement ne réside plus exclusivement entre les mains des personnes. Il est intégré en amont dans les données d’entraînement, la logique des modèles, les seuils et la gestion des exceptions, souvent bien avant que les fonctions de conformité ou d’audit ne soient engagées. Cependant, le cadre de contrôle demeure largement inchangé.
Les implications de l’IA sur la conformité
Une grande partie des discussions actuelles autour de l’IA et de la conformité se concentre sur l’extension des cadres existants. Les praticiens explorent des tests SOX continus, une couverture de contrôle élargie, une documentation améliorée et des principes de responsabilité en matière d’IA pour maintenir les systèmes audités. Ces efforts sont importants. Ils montrent une profession qui s’adapte progressivement et activement à ses outils. Cependant, une grande partie de ce discours part d’une prémisse non remise en question : que le modèle d’assurance lui-même reste solide et que l’IA doit simplement être régie à l’intérieur.
Ce qui reçoit moins d’attention, c’est la question de savoir si cette prémisse tient toujours.
Les cadres post-SOX supposent que les décisions peuvent être documentées, contestées, escaladées et attribuées à un opérateur ou à un rôle. L’IA complique cela non pas parce qu’elle manque de contrôles, mais parce qu’elle intègre un jugement qui est distribué, probabiliste et souvent opaque par conception. Étendre les contrôles peut améliorer la couverture, mais cela ne résout pas le décalage sous-jacent entre la manière dont les décisions sont prises et comment la responsabilité a traditionnellement été appliquée.
Les risques associés à cette évolution
Lorsque le jugement évolue, mais que les contrôles restent en place, l’IA est souvent introduite comme un outil d’efficacité plutôt qu’une décision de gouvernance. La rapidité, la cohérence et l’échelle sont prioritaires. Les contrôles sont évalués après le déploiement. L’assurance est attendue en aval. Les équipes de conformité et d’audit sont chargées de valider les résultats sans visibilité sur le jugement intégré dans les systèmes qui les ont produits. Les tests de contrôle confirment l’exécution, mais l’explication devient plus difficile.
Lorsque des questions se posent lors des examens internes, des enquêtes réglementaires ou des discussions en conseil, le problème est rarement présenté comme un problème de conception de système. Cela devient un problème de responsabilité. Qui possède la décision lorsque personne ne l’a prise ?
Cette tension ne reflète pas un échec de SOX. C’est un reflet de ses limites de conception. Les contrôles de l’ère SOX supposent des décideurs humains, un raisonnement explicable et une propriété basée sur des rôles. L’IA introduit une prise de décision qui est distribuée, adaptative et difficile à interpréter en termes humains.
Conclusion
À moins que les cadres de gouvernance n’évoluent en parallèle du déploiement, les organisations risquent d’opérer des environnements de contrôle qui semblent robustes mais manquent de visibilité quant à la manière dont les décisions sont prises. Dans ce scénario, les fonctions de conformité et d’audit héritent de la responsabilité sans autorité et deviennent responsables de résultats façonnés par une logique qu’elles ne peuvent pas pleinement interroger.
Le risque n’est pas l’automatisation elle-même. C’est de permettre au jugement de migrer vers des modèles d’IA tout en maintenant des hypothèses de gouvernance ancrées dans des modèles de prise de décision humaine.
Les anciennes réinitialisations d’assurance ont été déclenchées par des échecs de confiance. Ce sont des moments où les cadres existants ne pouvaient plus expliquer comment les décisions étaient prises ou défendues sous scrutiny. L’IA n’a pas encore produit de crise définissante, mais les conditions qui remettent en question la responsabilité, l’explicabilité et la propriété sont déjà en place.
Pour les leaders en matière de conformité, de risque et d’audit, la question n’est plus de savoir si l’IA va s’étendre. Elle le fera. La question plus pressante est de savoir si les hypothèses de gouvernance seront revisitées avant d’être mises à l’épreuve.
Si les cadres d’assurance ne peuvent pas expliquer comment les décisions sont prises, ils ne peuvent pas les défendre. Et lorsque la confiance est remise en question, l’explication et non l’efficacité est ce qui compte finalement.
