Auteurs : Diego Oliveira Farias (oliveiraf@tcu.gov.br ) Eldon Teixeira Coutinho (eldonc@tcu.gov.br ) Monique Louise de Barros Monteiro (moniquebm@tcu.gov.br ) Tibério Cesar Jocundo Loureiro ( ) tiberio.loureiro@tcu.gov.br
1. Introduction
La technologie Blockchain a vu le jour en 2008 lorsqu’un auteur répondant au nom de code Satoshi Nakamoto a publié un article intitulé « Bitcoin : A Peer-To-Peer Electronic Cash System » (Bitcoin : un système d’argent électronique entre pairs). Cette publication présentait une combinaison innovante de concepts informatiques – réseaux peer-to-peer (P2P), cryptographie, signature numérique, fonctions de hachage et un nouvel algorithme de consensus pour les réseaux distribués.
Le réseau Bitcoin utilise la technologie blockchain pour traiter et enregistrer les transactions en toute sécurité, et effectue des paiements en ligne sans avoir besoin d’un tiers de confiance. Les transactions sont validées et enregistrées dans des blocs stockés sous forme de grand livre dans les nœuds du réseau. Un « bloc » fait référence à l’état du réseau stocké dans des blocs séquentiels contenant des transactions, d’où le terme « blockchain ».
L’une des limites du Bitcoin est que sa blockchain ne permet que l’envoi de transactions monétaires. En 2013, Vitalik Buterin, un ancien membre de la communauté Bitcoin, a proposé une plateforme de développement d’applications décentralisées dénommée Ethereum. Cette blockchain peut exécuter ce que l’on appelle des « Smart Contracts », c’est-à-dire des codes informatiques (programmes) qui s’exécutent de manière autonome et fiable sur la blockchain.
1.1 Principales caractéristiques de la technologie Blockchain
1.1.1. Hyper transparence et auditabilité
La transparence de la blockchain permet à tous les participants au réseau de voir l’historique des transactions en temps réel, ce qui améliore la traçabilité. Les utilisateurs peuvent procéder à un audit approfondi des transactions, ce qui est particulièrement important pour les applications gouvernementales, car de nombreuses informations relatives aux programmes gouvernementaux doivent être rendues publiques.
1.1.2. Distribution et décentralisation
La décentralisation consiste à transférer le contrôle et la prise de décision d’une entité centralisée (individu, organisation ou groupe) à un réseau distribué.
Le réseau blockchain peut être utilisé comme une couche d’intégration de base de données, permettant une utilisation partagée entre les organisations et les collaborateurs externes, ce qui permet un gouvernement hyperconnecté.
1.1.3. Désintermédiation
La technologie blockchain introduit un nouveau paradigme : la possibilité pour différentes parties de réaliser des transactions sans devoir faire confiance à un intermédiaire central. En outre, elle réduit la nécessité de mettre en œuvre des processus de réconciliation complexes entre les parties et réduit les coûts puisqu’il est possible d’utiliser des contrats intelligents exécutés automatiquement selon des règles prédéfinies.
1.1.4. Disponibilité
Étant donné que tous les participants disposent d’une copie du réseau local, le grand livre peut être consulté par d’autres nœuds si l’un d’entre eux devient indisponible. En d’autres termes, la blockchain est un réseau résilient avec plusieurs copies partagées des données, de sorte que les services publics qui ont besoin de ces informations peuvent continuer à fonctionner même si certains nœuds sont indisponibles.
1.1.5. Immutabilité et intégrité
La blockchain utilise des techniques cryptographiques pour protéger ses enregistrements, notamment des fonctions de hachage et des signatures numériques. La falsification est donc remarquée, car il s’agit d’une violation mathématique de la blockchain.
Cette propriété garantit que la blockchain est un enregistrement immuable, de sorte qu’aucune entité ne peut modifier des données antérieures sans déclencher une alerte sur le réseau.
1.1.6. Irréfutabilité
L’une des caractéristiques essentielles des technologies blockchain est la cryptographie à clé publique, qui sert de base à l’authentification des utilisateurs du réseau. Les signatures numériques des transactions fournissent une preuve indéniable de l’identité de l’expéditeur du message (non-répudiation).
Figure 1 – Caractéristiques de la technologie Blockchain
2. Blockchain, audit et contrôle
L’utilisation de la technologie blockchain dans les institutions publiques et privées conduira à l’émergence de nouveaux services d’assurance et d’audit puisque les auditeurs internes et externes peuvent obtenir des rapports en temps réel.
En outre, la blockchain crée des changements significatifs dans l’entrée-traitement-sortie de l’information d’une organisation. Ainsi, le cycle du processus d’information peut modifier considérablement la manière dont l’auditeur recueille des preuves, en se concentrant davantage sur l’évaluation de la fiabilité du réseau blockchain que sur l’évaluation des données elles-mêmes.
L’étude menée par la Cour des comptes fédérale (TCU) pour vérifier comment l’innovation dans la Blockchain peut affecter l’activité d’audit est abordée plus en détail à travers différents aspects de transformation :
2.1. Audit continu en temps réel
Les solutions distribuées améliorent la gouvernance et la transparence des organismes publics, en permettant un accès immédiat et illimité aux données pour la société et les organes de contrôle. L’intégration de l’audit aux processus opérationnels permet un contrôle continu des actes et des dépenses publics. L’utilisation de la blockchain réduit le temps nécessaire pour obtenir des informations et vérifier les transactions. Les auditeurs peuvent tirer parti de l’automatisation, de l’analyse et des capacités d’apprentissage automatique pour alerter la direction en cas de transactions suspectes en temps quasi réel.
2.2. Changement de paradigme : de l’audit basé sur des échantillons à l’audit basé sur des données
Lors d’un audit, il convient de délimiter l’échantillon à examiner et de définir le critère de sélection correspondant, la période couverte et sa taille, et les conclusions généralisées tirées de l’échantillon sélectionné comportent un certain degré d’incertitude inhérent aux calculs statistiques.
La blockchain peut remplacer les tests substantifs basés sur des échantillons puisqu’il sera possible d’examiner et de tester l’ensemble de l’univers des données au cours de la période d’observation sur la base de la copie du grand livre.
2.3. Audit automatisé
Les transactions de la blockchain sont transparentes, sécurisées et fiables. Les auditeurs peuvent développer des procédures automatisées pour extraire des preuves directement de la blockchain, ce qui élimine la réconciliation des données entre plusieurs bases de données et réduit le risque d’erreurs. Cela améliore le travail de l’auditeur en permettant des requêtes dans la base de données, l’automatisation des rapports et la détection automatique des fraudes et des irrégularités.
2.4. Nouvelles connaissances requises pour l’auditeur
Les auditeurs doivent comprendre les risques spécifiques à la blockchain et la manière dont l’entité auditée met en œuvre des contrôles pour faire face à ces risques. Les professionnels doivent acquérir une expertise en matière de systèmes distribués, de réseaux, de sécurité, de cryptographie, de gestion des clés et de processus technologiques.
L’utilisation croissante des contrats intelligents nécessitera également des connaissances en matière de langage de programmation afin de vérifier que les règles commerciales sont correctement codées. La blockchain augmente la quantité d’informations disponibles, et les auditeurs doivent prévoir comment collecter des preuves en suivant les nouveaux formats résultant de cette technologie.
2.5. Introduction de nouveaux types de risques et de fraudes
Pour être en mesure de fournir le niveau de confiance nécessaire, les processus d’audit doivent aller plus loin dans l’évaluation de l’efficacité opérationnelle des contrôles liés à la technologie et à la cryptographie. En outre, les vulnérabilités des contrats intelligents sont de nouveaux points d’attention pour l’auditeur.
2.6. Conformité dès la conception
Le terme « compliance by design » (conformité dès la conception) découle de la validation des contrôles avant la mise en œuvre de la solution blockchain, en veillant à ce que les règles de ce qui est autorisé à l’intérieur et à l’extérieur du réseau soient conformes aux lois et aux réglementations juridiques.
Ainsi, les auditeurs et les entités auditées seront davantage sollicités pour participer à la phase de planification de l’application. Au lieu d’agir pour trouver des irrégularités, les contrats intelligents seront rédigés dans l’intention qu’elles ne se produisent pas. Il est beaucoup plus facile d’intégrer les aspects de la gouvernance, de la gestion des risques et des contrôles dès le début d’un projet que de les adapter après l’identification d’un problème.
2.7. Nécessité de valider les informations hors chaîne
Lorsqu’une blockchain enregistre des actifs numériques tels que des crypto-monnaies, elle constitue une source sûre et fiable. Cependant, lorsque la blockchain est utilisée pour enregistrer des transactions du monde physique, il n’y a aucune garantie qu’une transaction aura lieu.
Les mensonges enregistrés sur la blockchain restent des mensonges, ce qui conduit à la question de savoir comment l’auditeur peut garantir la véracité des transactions enregistrées sur la blockchain. Il appartiendra donc à l’auditeur de rechercher des mécanismes permettant de réconcilier les transactions enregistrées dans la blockchain et les transactions réelles, notamment en ce qui concerne la manière dont les participants au réseau initient, traitent et enregistrent les transactions.
2.8. Nouveaux défis et nouvelles opportunités
Même dans un environnement où l’ensemble des opérations de l’organisation est enregistré sur la blockchain, l’expertise de l’auditeur est toujours nécessaire pour sélectionner et effectuer des tests d’audit. La manière dont la véracité des transactions est trouvée et dont la gouvernance du réseau est exercée sont des facteurs essentiels que l’auditeur doit observer. Les preuves recueillies auprès de réseaux dotés de contrôles internes adéquats sont plus fiables que ceux dont les contrôles sont moins efficaces. Les audits seront probablement davantage axés sur les technologies de l’information et davantage tournés vers l’avenir, en se concentrant sur la prévention des actes répréhensibles, de la fraude et de la corruption.
L’utilisation d’applications blockchain par les entités auditées accroît la transparence des comportements en les obligeant à divulguer des transactions auparavant non enregistrées, de sorte que les organismes de contrôle doivent rechercher des moyens de maximiser la valeur des informations mises à disposition en temps réel. L’utilisation de l’analytique et de l’intelligence artificielle (IA) constitue deux possibilités.
3. Considérations finales
Malgré l’énorme potentiel que nous pouvons envisager pour leur applicabilité dans le contrôle, les technologies de l’écosystème Blockchain présentent encore des défis à surmonter par la communauté de l’inspection. Ces défis vont de la nécessité d’une formation et d’une mise à jour continues par les auditeurs face aux innovations technologiques constantes dans le domaine aux ajustements réglementaires qui peuvent être nécessaires pour réglementer l’utilisation de la blockchain dans les activités d’audit.
