Regards sur la recherche

Qu’est-ce que la technologie de registres distribués?

• La technologie de registre distribué (TRD), ou technologie de la chaîne de blocs manifeste sa présence au Canada et à l’échelle planétaire, comme une technologie susceptible de perturber les modes de fonctionnement et comportant d’importantes ramifications en matière de gestion financière et de gestion des documents et des comptes.

Quelles sont les répercussions sur les auditeurs?

• La TRD n’est pas arrivée à maturité et présente à la fois certains risques et des occasions à exploiter.
• Les incidences de cette technologie sur la profession de l’audit ne sont pas encore clairement définies mais on prévoit qu’elles seront importantes. Une automatisation grandissante des contrôles financiers, l’émergence des « contrats intelligents » aptes à générer des opérations financières, et l’avènement de l’audit « en temps réel » sont quelques-unes des répercussions potentielles de la TRD sur l’audit financier. En matière d’audit de performance, les incidences possibles seront fonction des changements que les organismes audités mettront en œuvre à l’égard de la gestion de leurs données et de leurs actifs numériques.
• Les auditeurs législatifs devraient être disposés à tirer pleinement avantage des possibilités que pourrait leur offrir la TRD, notamment la capacité de surveiller en temps réel l’information financière et de suivre une piste d’audit.

Introduction

La technologie de registre distribué, également appelée « chaîne de blocs », se présente comme une technologie qui risque de révolutionner les façons de faire. Introduite initialement après la crise financière mondiale en 2008, comme technologie sur laquelle repose la cryptomonnaie appelée bitcoin, la TRD a été conçue dans l’optique d’éliminer le besoin d’un tiers de confiance pour les opérations en ligne¹. Selon le Global Agenda Council on the Future of Software and Society, du Forum économique mondial, la technologie de la chaîne de blocs est l’une des six grandes tendances qui façonnent la société en matière de logiciels et de services². CPA Canada a jugé opportun de placer cette technologie novatrice « sur son écran radar» et d’en suivre l’évolution de près compte tenu de son incidence potentielle sur la profession comptable³. La Banque du Canada surveille également l’évolution de cette technologie.

En quoi la TRD change-t-elle la donne?

Un registre distribué est essentiellement une base de données d’actifs qui peut être mise en commun par la voie d’un réseau d’une multitude de sites, de lieux géographiques ou d’institutions. Tous les participants au sein d’un réseau possèdent leur propre copie identique du registre. Toute modification apportée au registre apparaît aussitôt dans toutes les copies du registre, dans les minutes qui suivent, ou même, dans les secondes qui suivent. Il peut s’agir aussi bien d’actifs financiers que d’actifs juridiques, physiques ou encore électroniques. La sécurité et l’exactitude des actifs inscrits au registre sont maintenues par une méthode de chiffrement et au moyen de « clés » et de signatures permettant de contrôler l’auteur ainsi que la nature exacte des opérations qui peuvent être portées au registre commun. Les inscriptions au registre peuvent aussi être effectuées par un participant, plusieurs participants ou encore tous les participants, dépendant des règles convenues au sein du réseau⁴. Blockchain France a produit un court vidéo qui résume ces concepts efficacement.

Les opérations inscrites au moyen de la TRD ont les caractéristiques suivantes :

• Transparentes : Les opérations sont ouvertes et accessibles à tous les participants.
• Distribuées : Le registre est reproduit et mis à la disposition de tous les participants, ce qui rend impossibles les altérations unilatérales (en raison du fait que les versions divergentes du registre sont rejetées).
• Synchronisées : Chaque fois qu’une nouvelle opération est inscrite, toutes les copies du registre sont mises à jour.
• Sécurisées : Les caractéristiques cryptographiques complexes combinées aux autres attributs des chaînes de blocs (transparentes, distribuées, synchronisées) ont pour effet de rendre immuables les chaînes de blocs (c.-à-d. qu’elles ne peuvent pas être modifiées). Elles comportent une piste d’audit intégrée.

La technologie sous-jacente à la TRD est susceptible de perturber les modes de fonctionnement en raison du fait qu’elle permet de résoudre un problème essentiel qui se pose depuis la création d’Internet : celui de déterminer dans quelle mesure il est possible de compter sur des tiers pour l’exécution d’opérations. Jusqu’à maintenant, les solutions offertes mettaient obligatoirement à contribution des tierces parties, ce qui entraînait des coûts, des délais et des inefficiences supplémentaires.

Les ordinateurs qui constituent une chaîne de blocs font appel à un processus automatisé pour valider le format de l’inscription d’une opération qui doit à son tour figurer dans le « bloc » suivant. Une fois ce « consensus » établi, l’information est enregistrée dans un bloc. La série complète de blocs constitués en une chaîne devient ainsi un « registre » qu’on appelle « chaîne de blocs ». Chacun des ordinateurs mis à contribution pour constituer le réseau de chaînes de blocs conserve une copie du registre complet qui est mis à jour en temps réel dès que de nouveaux blocs sont créés et validés.

Dès lors qu’un consensus sur l’opération concernée s’établit entre les participants, cela élimine la nécessité de faire appel à un tiers de confiance agissant comme intermédiaire pour faciliter le processus. Le modèle de « confiance distribuée » que permet la technologie de la chaîne de blocs s’oppose aux modèles de « confiance centralisée » sur lesquels reposait jusqu’à présent la réalisation des opérations. Par exemple, le nouveau modèle permet à un participant, moyennant une entente, de transférer de la cryptomonnaie comme le bitcoin, à un autre participant, par l’intermédiaire d’un réseau de chaînes de blocs, sans l’intervention d’une banque.

Comme toute technologie émergente et prometteuse, la TRD comporte des inconvénients et des imperfections qu’il faudra éliminer ou atténuer avant d’en généraliser l’exploitation. Le piratage ciblant le projet DAO, un fonds de capital-risque dirigé par des investisseurs, en juin 2016, qui s’est soldé par une perte de 70 millions de dollars, est un exemple récent de la vulnérabilité de la TRD. Il ne s’agissait pas d’une faille de la TRD en tant que telle, mais plutôt de celle d’un autre logiciel sur lequel elle s’appuyait, mais l’attaque a exposé le fait que la TRD n’était pas à tout épreuve si elle n’était pas mise en œuvre de manière diligente et prudente⁵.

Incidences sur la profession de l’audit

Les répercussions de la TRD sur les activités d’audit commencent à se faire sentir. Toutes les indications ayant trait à la TRD jusqu’à maintenant mènent à penser que cette technologie perturbera les activités et les façons de faire des auditeurs et exigera une certaine adaptation.

Parmi les hypothèses envisagées à l’égard de l’audit financier, on compte aussi bien l’élimination totale en théorie de la nécessité de l’audit financier en raison de l’immuabilité des registres distribués, que l’intégration complète des activités d’audit dans le processus de production des états financiers au moyen de la chaîne de blocs. Le premier scénario est envisagé dans un document parrainé par le gouvernement du Canada et distribué par Blockchain Supercluster :

[traduction] « Envisageons l’incidence unique de la comptabilité en partie triple sur la transparence et la responsabilisation du gouvernement. Il est tout à fait possible, par exemple, que la fonction de vérificateur général fédéral soit remplacée par une fonction d’audit en temps réel sur une nouvelle plateforme gouvernementale de chaîne de blocs. Plutôt que de mener à la découverte un an plus tard de dépenses inappropriées ou de gaspillage, cela permettrait de bloquer sans délai de telles dépenses » ⁶.

Par ailleurs, chacun des « quatre grands » cabinets comptables a constitué un groupe de travail chargé d’explorer les occasions d’affaires que pourraient offrir les technologies associées à la TRD⁷. Les répercussions possibles à l’égard des activités d’audit de performance laissent entrevoir de profonds changements dans la gestion des données et des actifs numériques par les organismes audités. Il faudra notamment repenser la nature des éléments probants nécessaires pour permettre d’obtenir le niveau de certification qui répond aux normes professionnelles, et la façon de recueillir ces éléments.

Les occasions qui s’offrent aux auditeurs législatifs

• Approfondir leur connaissance des activités des entités auditées. Comme il est mentionné plus haut, de très nombreuses applications reposant sur la TRD sont en voie d’élaboration à l’intention particulière du gouvernement, destinées notamment aux fins suivantes : la perception des impôts et taxes, la gestion des documents, le vote, le régime réglementaire de surveillance, la gestion de l’identité. Sans nul doute, d’autres applications génériques liées notamment à la gestion financière et à la comptabilité, à la gestion de la chaîne d’approvisionnement, à la cybersécurité, aux échanges commerciaux, seront aussi transférables au secteur public. Par conséquent, ne serait-ce que pour bien comprendre le mode de fonctionnement des organismes qu’ils auditent, les auditeurs législatifs devront approfondir leur connaissance de la TRD et de la manière dont les organismes audités s’en servent.
  
  
• Veiller à la mise en œuvre adéquate des applications reposant sur la TRD avant leur lancement général. La TRD est conçue de manière à éliminer l’intervention de tierces parties tout en assurant des mises à jour instantanées et sécurisées des comptes. Dans ce contexte, on s’attend donc à ce que le besoin de services d’audit financier périodiques soit grandement modifié et peut-être réduit. Cependant, comme l’expérience du projet DAO l’a mis en évidence, la mise en œuvre de la TRD peut comporter certains dangers. Les auditeurs pourraient ajouter une valeur importante en menant des audits informatiques qui tiendraient compte des risques et permettraient ainsi de mettre en place des contrôles adéquats et efficaces.
  
  
• Tirer parti des possibilités offertes par le TRD pour communiquer l’information financière en temps réel et procurer la certification voulue en temps opportun. La TRD permettra aux organismes audités de surveiller de manière continue leurs processus, de procurer une piste d’audit ou de réaliser une analyse des comptes simplement en appuyant sur un bouton⁸. Dans un avenir fondé sur la TRD, la direction d’un organisme pourrait mettre des « clés » numériques à la disposition d’auditeurs externes, ce qui leur donnerait un accès sans précédent à des données détaillées et horodatées sur toutes les opérations inscrites. Un tel accès aura inévitablement une incidence importante sur la manière d’aborder l’audit qu’adoptera l’auditeur.
  
  
• Acquérir une meilleure capacité d’utilisation de l’analytique des données. La TRD intensifiera l’omniprésence des données numériques dans tout environnement. Les organismes qui font appel à la TRD disposeront vraisemblablement d’un ensemble de puissants outils pour communiquer de l’information et rendre des comptes, et ce, en toute transparence des opérations, pour gérer leur situation financière et en communiquer les résultats. Les auditeurs législatifs devront continuer et même accélérer leurs efforts en vue d’acquérir des compétences et de les élargir en matière d’analytique des données, de manière à savoir mieux les utiliser à la hauteur de la quantité et de la complexité croissantes des données émanant des organismes audités⁹.  Il faudra donc faire appel aux stratégies habituelles déjà mises en place dans ce domaine : embaucher un plus grand nombre d’experts, développer l’expertise du personnel des équipes d’audit par la formation et l’obtention de certifications professionnelles, et de rester au fait de l’architecture et des banques de données des systèmes d’information des organismes audités.