La fatigue d'audit est une fonctionnalité, pas un bug (de votre modèle opérationnel)
Le trimestre dernier, une CFO m'a dit qu'elle avait commencé à bloquer du temps sur son calendrier intitulé « audit fatigue recovery ». Vrai libellé. Réunion récurrente. Neuf cadres seniors dans une même boîte, qui bloquent du temps explicite pour récupérer de nous. J'ai commencé à faire attention.
Le trimestre dernier, une CFO m'a dit qu'elle avait commencé à bloquer du temps sur son calendrier intitulé « audit fatigue recovery ».
Je lui ai demandé si c'était une blague.
Elle a dit non. C'est une réunion récurrente, tous les quinze jours, vendredi après-midi, quatre-vingt-dix minutes. Elle s'assoit avec un café et refuse explicitement de répondre aux questions d'audit pendant ce bloc. C'est la seule façon dont elle arrive à faire son vrai job.
Je l'ai regardée un instant. Puis je lui ai demandé qui d'autre avait ce bloc. Elle a dit : le contrôleur, le head of revenue, l'adjoint du GC, le head of IT operations, deux présidents de BU et son chef de cabinet. Ils coordonnent leurs blocs pour qu'ils ne chevauchent pas les créneaux d'interview d'audit des autres.
Neuf dirigeants seniors dans une mid-cap, tous en train de bloquer du temps explicite sur leur calendrier pour récupérer de nous.
Je suis partie de cette réunion en me demandant comment j'avais contribué à ça. Et puis j'ai commencé à faire attention.
Le problème
La fatigue d'audit est la pathologie la plus nommée et la moins diagnostiquée de notre métier.
Tu l'entends en permanence. « Mon équipe est fatiguée. » « Le business est fatigué. » « La troisième ligne nous submerge. » La réponse réflexe — chez les CAE, les compliance leaders, les CRO — c'est de s'excuser, d'alléger la charge des missions, et de promettre d'être plus léger le trimestre prochain. C'est empathique. Ça ne change rien.
Parce que la fatigue n'est pas la maladie. La fatigue est le symptôme. La maladie, c'est un modèle opérationnel qui, opéré au volume que la GRC moderne exige, épuise ses hôtes.
Une fois que tu le vois, tu ne peux plus l'ignorer. L'équipe d'audit en 2026 fait à peu près vingt fois le travail qu'elle faisait en 2010. Le business n'a pas grandi vingt fois. Le nombre d'interlocuteurs qu'on touche n'a pas été multiplié. Pourtant nos demandes de temps sur ces interlocuteurs ont à peu près suivi notre charge. On demande, structurellement, aux mêmes humains de faire vingt fois plus pour nous.
Évidemment qu'ils sont fatigués. Ils sont fatigués parce que le modèle n'a pas bougé d'un cran tandis que son débit a pris un ordre de grandeur.
Ce que ça coûte
Trois choses cassent quand les stakeholders sont chroniquement fatigués.
Un, la qualité des inputs s'effondre. Une CFO fatiguée ne te donne pas des réponses précises. Elle te donne les réponses qui mettent fin à la réunion. Le walkthrough que tu as conduit en troisième semaine de clôture n'est pas le walkthrough que tu crois. C'est une approximation pressée, exécutée par quelqu'un qui est mentalement ailleurs. Tu l'as documenté comme un artefact de preuve propre. Ce n'en est pas un.
Deux, l'accès politique dont tu as besoin disparaît. L'actif le plus précieux de l'audit interne, ce n'est pas son indépendance ; c'est son invitation permanente aux conversations importantes. La fatigue érode cette invitation. Doucement d'abord — tes réunions glissent vers des calendriers plus juniors, tes questions reçoivent des emails au lieu de conversations — puis brutalement, le jour où la boîte traverse une vraie crise et tu l'apprends par le communiqué de presse.
Trois, l'équipe devient complice de la dysfonction. Les auditeurs sentent la fatigue. Ils se sentent coupables. Ils édulcorent les findings pour faciliter la vie des gens qu'ils apprécient. Ils diminuent la rigueur de leurs walkthroughs pour épargner un contrôleur amical. Au fil du temps, la fonction perd la colonne vertébrale qui justifiait son existence. Elle devient un rituel poli et épuisé.
J'ai vu les trois se produire chez des entreprises que j'admirais sincèrement. Aucune n'était une équipe arrogante. C'étaient les opposées — consciencieuses, bienveillantes, sérieuses. Elles ne voyaient juste pas le modèle dans lequel elles étaient coincées.
L'amplification
Voici la partie la plus déprimante.
La réponse standard à la fatigue d'audit — « soyons plus efficaces avec le temps des stakeholders » — empire presque toujours les choses. Comme le modèle ne change pas, « efficience » signifie tasser le même travail dans des points de contact plus courts. Les stakeholders passent moins de temps par interaction mais les interactions sont plus exigeantes cognitivement, plus fréquentes, et plus dures à préparer. Ils passent de fatigués à en colère.
J'ai vu des équipes d'audit passer un an à raboter leurs walkthroughs de soixante à quarante-cinq minutes et découvrir, en fin d'année, que les scores de satisfaction stakeholder avaient empiré. Pas parce que les auditeurs avaient mal fait. Parce que le modèle n'avait pas bougé, et le modèle est ce qui produit la fatigue.
Le piège du « less is more » est réel.
La solution
Le modèle opérationnel doit changer. Trois mouvements concrets, et je suis convaincue que c'est la voie.
1. Découple la collecte de preuves de l'interaction stakeholder
Ce que ta fonction peut faire de plus impactant, c'est réduire d'un ordre de grandeur le nombre de fois où tu poses une question à un humain. Les plateformes GRC modernes savent récupérer la plupart des types de preuves — configurations système, échantillons de transactions, revues d'accès, versions de policy — automatiquement et en continu. Le walkthrough ne devrait pas être le moment de collecte. Le walkthrough devrait être le moment d'interprétation de preuves déjà collectées.
Si ton équipe demande encore au contrôleur de t'envoyer la même réconciliation Excel tous les trimestres, tu fais partie du problème. Arrête. Construis l'intégration.
2. Remplace les missions one-shot par des missions continues
Une mission unique de 80 heures qui consomme l'octobre du contrôleur fatigue à peu près cinq fois plus que les mêmes 80 heures réparties invisiblement sur l'année en continuous monitoring. Le travail est le même. La charge cognitive est radicalement différente. Le continuous controls monitoring n'est pas une catégorie d'outil. C'est un modèle opérationnel qui respecte la cognition des stakeholders.
3. Fais de la couche agentique l'interface principale
C'est là que l'IA change la donne, et ce n'est pas le changement qu'on prédirait. Le but des agents en GRC, ce n'est pas de remplacer les auditeurs. C'est d'absorber les parties d'un audit qui épuisent les stakeholders. Un agent qui demande au contrôleur trois pièces de preuve dans un thread Slack, un mardi après-midi, fatigue beaucoup moins que le même auditeur faisant la même demande dans un Zoom d'une heure le jeudi. Mêmes preuves, même rigueur, charge cognitive dramatiquement moindre côté stakeholder.
Les équipes qui sont passées à un engagement agentic-first ont, selon les données que j'ai vues, coupé les heures stakeholder par audit de 60 à 70 % tout en augmentant la qualité des findings. La fatigue, en termes réels, disparaît.
Pour finir
J'ai rappelé cette CFO six mois plus tard. Elle avait fait passer sa boîte sur une plateforme de continuous monitoring avec engagement agentique côté audit. Je lui ai demandé comment se portait son bloc calendrier.
Elle a ri. Le bloc était toujours là, mais elle n'en avait plus besoin. Elle utilise le temps pour une balade le vendredi après-midi.
C'est le test. *Si tes stakeholders ont besoin de temps de récupération de ta fonction, c'est la fonction qui est le problème.* Répare la fonction. La fatigue s'évapore.
Les équipes qui réparent ça sont celles dont les business partners finissent par les appeler de leur propre initiative — pas parce qu'ils y sont obligés, mais parce qu'ils savent que la conversation sera courte, aiguisée, et utile. C'est la relation que les autres essaient encore d'atteindre.