Les comités d’audit jouent un rôle crucial quant à la surveillance de la transformation de l’IA

Bien qu’elle s’inscrive dans le cadre du changement numérique dans son ensemble, la transformation de l’intelligence artificielle (« IA ») connaît sa propre évolution. Certes, une entreprise peut être capable de s’adapter au numérique, mais cela ne signifie pas pour autant qu’elle est prête pour l’IA. Ce n’est pas du tout la même chose. Il est nécessaire de prendre en compte d’autres facteurs et d’adopter une approche différente. L’intelligence artificielle va révolutionner non seulement notre façon de travailler, mais aussi notre façon de penser.

Les possibilités offertes par l’intelligence artificielle sont emballantes pour de nombreuses personnes, mais les comités d’audit doivent adopter une vision plus large. Les avancées comme l’IA générative et les puissants modèles linguistiques pousseront les comités d’audit à analyser la qualité des données, à repenser la façon dont la propriété intellectuelle est perçue, à comprendre les répercussions sur les parties prenantes et à se préparer en vue des réglementations à venir.

L’avènement de modèles d’IA dans divers secteurs incite les conseils d’administration des sociétés à comprendre comment intégrer, surveiller et optimiser adéquatement ces technologies au sein de leur organisation. Dès lors, il est impératif que les conseils d’administration appréhendent l’IA afin que l’utilisation de ces modèles cadre avec les objectifs de base de la société, et qu’ils veillent à ce que les initiatives d’IA leur procurent de la valeur et un avantage concurrentiel.

Il est essentiel de comprendre les modèles d’IA pour prendre la mesure de leurs ramifications éthiques et leurs partis pris potentiels, ainsi que pour veiller au respect de l’évolution de la réglementation et des normes, un aspect qui peut avoir une incidence significative sur la réputation de la société et les relations avec les parties prenantes. Par conséquent, les comités d’audit doivent jouer le rôle de gardien dans ce contexte d’IA en plein essor, en assurant la valeur stratégique, l’intégration éthique et la résilience de l’organisation.

Les sociétés devraient bien réfléchir avant de mettre en œuvre des solutions d’IA, et en particulier d’IA générative. Il est difficile de concrétiser les avantages escomptés des preuves de concept de l’intelligence artificielle par le biais de produits ou de services prêts à l’emploi. Ces preuves de concept sont obtenues dans des environnements très structurés dans lesquels les données d’entrée sont nettoyées, ce qui permet de s’assurer que le modèle réagit comme prévu. Lorsqu’il est déployé au sein de l’organisation, où tout n’est pas parfaitement organisé, le modèle peut ne pas fonctionner comme prévu ou il peut accéder à des données imprévues.

Pour atténuer ce problème, les comités d’audit devraient interroger la direction quant aux avantages attendus de chaque application de l’IA, compte tenu des coûts et des risques qu’elle peut entraîner. En effet, ce n’est pas parce l’intelligence artificielle peut être utilisée qu’il faut nécessairement recourir à celle-ci. Les comités d’audit devraient solliciter régulièrement des examens externes des modèles de leur organisation. En outre, ils devraient questionner la direction quant à savoir si les applications fonctionnent comme prévu, si elles utilisent uniquement les données auxquelles elles sont censées accéder et quels sont les contrôles des risques mis en place à l’égard des résultats non souhaités.

Les organisations qui appliquent des solutions d’IA doivent aussi pouvoir s’appuyer sur de solides assises en matière de talents, de processus et de données. Cela passe avant tout par l’identification des secteurs de l’entreprise dans lesquels l’utilisation de l’IA est la plus logique et, parmi ces secteurs, ceux qui contiennent suffisamment de données avec la qualité nécessaire pour rendre l’IA opérationnelle. Il est par ailleurs indispensable de veiller à obtenir l’adhésion de la direction, car ce processus exigera un engagement important en temps et en ressources.

En cas d’adoption d’un nouveau modèle, le comité d’audit devra jouer un rôle de chef de file et orienter les discussions avec la direction au sujet de la cybersécurité, de la confidentialité des données et de la conformité à la réglementation, ainsi que de la façon dont les modèles interagiront avec d’autres applications utilisées par l’organisation. Ils voudront s’assurer que les risques potentiels sont atténués au moyen de processus et de contrôles appropriés et que l’entreprise mobilise les talents qui conviennent le mieux pour les initiatives d’IA.

La plupart des organisations ne mettront pas au point de solutions d’IA sur des bases entièrement nouvelles. Au contraire, elles feront l’acquisition d’applications qui intègrent déjà des modèles d’IA. Si tel est le cas, le comité d’audit devra comprendre les risques que présentent ces solutions, les contrôles mis en place par le fournisseur et la façon dont ils répondent aux normes de contrôle de l’organisation.

La plus grande source de préoccupation liée à l’intelligence artificielle concerne ses répercussions sur le plan humain. L’IA peut avoir de nombreux effets positifs sur les êtres humains, mais elle peut aussi avoir des conséquences négatives sur des questions telles que la vie privée, la santé, la sécurité économique et la justice. L’importance de ces conséquences négatives déterminera l’application de l’IA et de la réglementation à laquelle elle est soumise.

La discussion sur l’importance de ces répercussions tournera probablement dans un premier temps autour des questions de sécurité et de vie privée. Ensuite, selon le secteur, seront abordées les répercussions sur le plan humain telles que le changement ou la disparition de certains rôles au travail, et la recommandation de traitements médicaux. La transparence et la documentation seront indispensables alors que ces répercussions prennent de plus en plus d’importance.

Les comités d’audit devront poser des questions au sujet des partis pris des modèles et de la façon dont les processus sont consignés. Ils devront également s’assurer auprès de la direction qu’il est possible à tout moment de confirmer que les modèles fonctionnent comme ils sont censés le faire, que les données ne sont pas utilisées à mauvais escient et que les clients peuvent être assurés de la mise en place de mesures appropriées pour éviter toute conséquence fâcheuse dans le cadre de la collaboration avec l’organisation.

L’importance des répercussions sur le plan humain guide déjà les applications d’IA mises en œuvre dans les entreprises. Le plus souvent, l’IA est utilisée dans le cadre des processus de traitement par lots dans les services administratifs et pour formuler des recommandations personnalisées en matière de produits ou de services, car ces utilisations n’ont que peu de répercussions sur les employés, ce qui réduit le fardeau potentiel en matière de conformité et de réglementation qui pourrait accompagner leur croissance.

Cela dit, même si cela paraît contre-intuitif, la réglementation devrait accélérer l’avancée de l’utilisation commerciale de l’IA à l’heure où l’inquiétude grandit à l’égard des répercussions de l’IA sur le plan humain. En effet, en règle générale, la réglementation est perçue comme une entrave à l’innovation et à l’adoption. Toutefois, la surveillance réglementaire de l’IA aidera les sociétés à établir un climat de confiance avec le public et leur permettra de recourir davantage à l’IA. Les organisations réglementées pourront fournir au public l’assurance qu’elles disposent d’un cadre de gestion des risques qui fait l’objet d’un suivi et d’une validation par des tiers.

La réglementation sera rapidement renforcée à mesure que les répercussions de l’IA sur le plan humain prennent de l’importance. Le gouvernement du Canada a récemment publié des lignes directrices provisoires que certaines organisations ont adoptées volontairement, et des discussions ont lieu au sein de certains secteurs tels que les soins de santé pour déterminer la forme que prendrait la certification.¹ Ces réglementations vont sans aucun doute être modifiées et évoluer avant de devenir obligatoires pour tous les utilisateurs de modèles ayant des répercussions significatives. Il n’en demeure pas moins que les comités d’audit devraient prendre les devants et préparer leur organisation pour la suite.

L’IA générative soulève une préoccupation : elle utilise des données que certains considèrent comme de la propriété intellectuelle au moyen de techniques de collecte de données, comme le moissonnage du Web. On s’inquiète également de savoir à quelles bases de données, voire à quels renseignements personnels elle pourrait accéder. Toutefois, comme on a pu le voir avec les téléphones cellulaires, si cela nous procure des avantages, nous sommes moins préoccupés par le sort réservé à nos données. Il en ira probablement de même pour les organisations relativement à leur propriété intellectuelle.

Notre façon de voir la propriété intellectuelle évoluera. Depuis la révolution industrielle, nous sommes dans une économie de spécialistes. Nous assistons maintenant à un virage dans lequel la spécialisation a moins de valeur, car les ordinateurs ont accès à toutes les données en permanence et peuvent les synthétiser à une vitesse inouïe. Par conséquent, la propriété intellectuelle sera davantage axée sur l’architecture des systèmes de personnes, de processus et de technologie, et sur leur synergie pour atteindre les résultats souhaités. Lorsque cela sera fait, les données se démocratiseront et le partage de ce que nous considérons aujourd’hui comme de la propriété intellectuelle sera accru.

Cette démocratisation de la propriété intellectuelle aura des répercussions sur presque tous les aspects de l’entreprise, des processus aux talents, en passant par la composition du comité d’audit lui-même. Bien que ce changement ne soit pas imminent, les comités d’audit doivent rester à l’affût des changements dans le traitement de l’information et évaluer les répercussions sur les contrôles, les processus, les données et la présentation de l’information.

L’expertise en certification des comités d’audit leur permettra dans un premier temps d’assurer une surveillance précieuse de l’IA sans qu’il soit nécessaire pour eux d’en avoir une connaissance approfondie. Ils auront intérêt à interroger la direction sur la nature et l’ampleur des risques présentés par les applications d’IA utilisées, de même que sur la cybersécurité, l’intégrité et la qualité des données, ainsi que sur les coûts et les avantages de l’utilisation d’outils d’IA. Il peut être souhaitable qu’ils consultent des experts externes si des connaissances techniques plus approfondies sont nécessaires. Leur propre expertise se développera davantage alors que l’adoption de l’IA prendra de l’ampleur, mais ils devront peut-être se perfectionner, ou les comités devront recruter de nouveaux membres possédant des connaissances spécialisées en IA.

En premier lieu, les comités d’audit devraient commencer à demander un « rapport d’entreprise sur l’IA » faisant état de l’intégration, l’utilisation et des répercussions de l’intelligence artificielle au sein de l’organisation. Ce rapport devrait analyser la façon dont l’IA cadre avec la stratégie de l’entreprise, évaluer la gestion des risques liés aux applications de l’IA et estimer ses répercussions sur le plan éthique et sa conformité aux réglementations pertinentes. Il devrait examiner minutieusement les initiatives d’IA, leur efficacité et le rendement du capital investi, et formuler des recommandations stratégiques pour accroître l’efficacité opérationnelle et l’avantage concurrentiel. Ce rapport facilitera la prise de décisions éclairées et assurera le déploiement responsable et optimal de l’IA, ce qui est essentiel pour maintenir l’intégrité de l’entreprise, atténuer les risques et favoriser l’innovation.

L’application d’outils d’IA à l’entreprise est complexe et présente des risques. Grâce à leur compréhension des risques et de la certification, les comités d’audit exercent une surveillance et fournissent des directives précieuses à l’égard de cette évolution technologique.