Les auditeurs sèment parfois l’angoisse dans les entreprises. Désormais, c’est à leur tour de trembler. La blockchain ne bouleversera pas seulement le rôle des institutions financières, mais aussi la manière dont on contrôle l’activité des sociétés.
TEXTE | Lionel Pousaz
Toutes les grandes compagnies et la plupart des PME passent par des audits. C’est le moment redouté de la fin d’année fiscale, quand des experts font main basse sur la salle de réunion et passent au crible les comptes de l’entreprise, sous les regards inquiets des employés. Aujourd’hui, les auditeurs ne font pas qu’éplucher la comptabilité. Ils se penchent sur les processus qualité, la traçabilité des matières premières, les performances et même les dépenses énergétiques. L’audit est un passage obligé pour renforcer le lien de confiance avec les investisseurs, les actionnaires ou les clients. Le rapport final sert souvent de pierre angulaire à la stratégie de l’entreprise.
Le petit monde de l’audit – à vrai dire, un énorme marché, où les quatre plus grosses firmes mondiales se partageaient en 2018 des revenus de 150 milliards de dollars – est peut-être sur le point de connaître une révolution. Ses acteurs se mettent en mouvement autour d’un concept qui pourrait bouleverser leurs pratiques: la blockchain. En quoi cette technologie, souvent associée aux cryptomonnaies, peut-elle bouleverser les pratiques de l’audit?
Quelques entreprises enregistrent déjà certains processus sur la blockchain, notamment dans les domaines de la fintech (néologisme issu de la contraction entre «finance» et «technologie», ndlr). Dans les grandes lignes, plutôt qu’un logiciel classique, elles utilisent un protocole informatique qui effectue et enregistre les transactions sous forme de blocs. L’information contenue dans ces blocs est accessible en permanence et virtuellement impossible à modifier (lire ci-dessous). En dehors de ces cas particuliers, les experts ne voient pas encore pointer le raz-de-marée. Mais ils sont nombreux à l’annoncer. Professeure à la Haute école de gestion de Genève – HEG – HES-SO, Nathalie Brender ne pense pas que les entreprises basculeront massivement vers la blockchain avant au moins une bonne dizaine d’années. Ce qui n’empêche pas les acteurs de l’audit d’anticiper le mouvement. «Les plus grandes firmes d’audit, l’organisme ISO ou des consortiums de banques travaillent tous à leur stratégie blockchain. Pour ma part, je suis régulièrement contactée par des petites sociétés d’audit, qui souhaitent se tenir au courant.»
Des données infalsifiables
Pourquoi les entreprises auraient-elles avantage à adopter la blockchain? La robustesse représente sans doute un premier argument. Chaque transaction – non seulement les mouvements financiers mais aussi les services, les accès aux systèmes informatiques, etc. – est validée sans besoin d’intermédiaires. Une fois inscrite, elle ne peut être modifiée.
Cette suppression des intermédiaires fait de la blockchain un système particulièrement utile quand la transaction implique de multiples parties prenantes, explique Nathalie Brender: «C’est là que le concept fait le plus de sens, quand on interagit avec des sous-traitants, des fournisseurs, des clients, des auditeurs ou une autorité de surveillance, et que l’on doit s’assurer que les données sont disponibles et correctes.» On songera par exemple à la question de la traçabilité des matières premières dans le domaine agroalimentaire ou pour les labels écoresponsables.
Actuellement, les auditeurs passent un temps considérable à vérifier l’intégrité des données. Par exemple, ils extraient un échantillon représentatif de factures, puis ils vérifient la cohérence des documents émis à chaque étape de la transaction – bons de commande et de livraison, relevés bancaires, rapports de service, comptabilisation.
La blockchain pourrait rendre obsolètes la plupart de ces étapes de contrôle. «Cela signifie que le travail va évoluer vers moins de vérification et plus d’expertise. La valeur ajoutée se concentrera dans l’analyse», estime Nathalie Brender. Par exemple, quand l’auditeur préconise des changements dans les processus de facturation pour régler des problèmes d’impayés, ou quand il évalue la valeur d’un actif particulier, comme un brevet.
Des audits en continu
Second avantage de la blockchain, sa disponibilité. Le système valide les transactions en continu et l’ensemble des données se retrouve immédiatement accessible en ligne. «Cette propriété permet de procéder à des audits en continu sur la base de données fiables, traçables et immutables, plutôt que de concentrer son travail sur une enquête annuelle massive», observe Nathalie Brender.
L’accès en temps réel à ces données peut bouleverser le rythme de travail des auditeurs. Du côté des entreprises, elle permettra d’accélérer la prise de décision, en se basant sur les événements et les tendances des dernières semaines, plutôt que sur un rapport qui couvre les activités de l’année précédente.
Les risques de la blockchain
Malgré sa robustesse, la blockchain introduit ses propres risques. En 2017, un hacker parvenait à dérober l’équivalent de près de 32 millions de francs en cryptomonnaie ethereum. Pour ce faire, il ne s’est pas attaqué à la blockchain elle-même, mais au logiciel qui gérait les porte-monnaie virtuels des clients. Cet incident est révélateur: si le système lui-même est pratiquement inviolable, il peut présenter des vulnérabilités au niveau de l’interfaçage avec le reste des logiciels. «Cela implique qu’il y aura probablement plus d’audits pour vérifier le déploiement du système informatique et ses interactions avec les activités exécutées sur la blockchain», analyse Nathalie Brender.
Enfin, le caractère immutable de ce système ne va pas sans poser quelques problèmes. Après une erreur de saisie dans une transaction, il n’est pas possible d’en modifier le contenu. Techniquement, le problème pourrait se régler en opérant la transaction inverse. Mais cela impliquerait que les parties prenantes se mettent d’accord. Les entreprises auront donc tout intérêt à mettre en place des systèmes de pré- validation, afin d’éviter que des bévues ne soient gravées dans le marbre.
Au-delà de ces grandes lignes, il reste difficile d’anticiper les conséquences concrètes de la blockchain sur le métier d’auditeur. C’est précisément ce qui intéresse Nathalie Brender, elle-même ancienne auditrice pour la firme Arthur Andersen. Elle a récemment obtenu un financement du Fonds national suisse de la recherche scientifique, en collaboration avec Jean-Henry Morin de l’Université de Genève, afin de mettre en place une expérience pratique: «Avec des professionnels de l’audit, nous allons examiner divers processus en entreprises avant et après le basculement vers la blockchain. Nous voulons analyser sur le terrain quelles opérations de vérification sont encore nécessaires et mesurer l’impact de la transition.»
Nathalie Brender note un climat d’expectative parmi les petites fiduciaires qui n’ont pas les moyens d’anticiper le mouvement. «Il existe un vrai risque que nombre d’entre elles n’aient pas les moyens d’effectuer le virage.» D’autres sociétés d’audit ont fait part à la chercheuse de leur relative impuissance face aux comptes d’entreprises qui ont franchi l’étape de la blockchain. «à ce jour, aucune norme d’audit ne décrit la procédure à suivre», constate la spécialiste. Son travail devrait permettre à ces sociétés de mieux anticiper les conséquences de la révolution annoncée.
L’art de graver dans le marbre
Imaginons une sorte de livre de comptes quasi infalsifiable. Chaque transaction est enregistrée au sein d’une entité virtuelle appelée bloc. Le contenu est visible – date, montant, type, identité des transacteurs… – mais il est également chiffré sous la forme d’une longue suite de caractères appelée hash. Si on change ne serait-ce qu’une virgule au contenu d’un bloc, son hash sera totale-ment différent.
Ce hash est repris dans le contenu du bloc suivant – soit à la prochaine transaction. Le nouveau bloc générera son propre hash, qui sera lui aussi repris, et ainsi de suite pour former une chaîne de blocs – une blockchain, donc. En pratique, cela implique qu’on ne peut pas modifier le contenu d’un bloc sans modifier celui de tous les blocs suivants, et donc générer un nouveau hash pour chacun d’entre eux.
Pour rendre le système encore plus robuste, la chaîne de blocs est distribuée. C’est-à-dire qu’elle est stockée intégralement et à l’identique dans plusieurs machines, où elle se met à jour automatiquement. Il est donc impossible de modifier le contenu d’un bloc sans modifier tous les blocs suivants sur toutes les copies de la chaîne. Si quelqu’un cherche à modifier un bloc donné, les machines qui hébergent les autres copies de la chaîne repéreront immédiatement l’anomalie et rétabliront le contenu originel.