Ce que les conseils d’administration devraient exiger de l’IA : évaluation, audit et garantie
Dans un article précédent, il a été soutenu que la gouvernance de l’IA va au-delà de la supervision de quelques projets technologiques et englobe désormais la garantie que les décisions prises grâce à l’IA restent alignées avec la stratégie, l’appétit pour le risque et les normes éthiques.
Une question naturelle pour les conseils est : au-delà de l’établissement des attentes, comment une organisation peut-elle vérifier que ses systèmes d’IA fonctionnent comme prévu, de manière responsable et dans des limites définies ?
Trois concepts distincts mais liés
Il est utile d’être précis sur ce que chaque terme signifie, car ils sont souvent utilisés de manière interchangeable alors qu’ils ne devraient pas l’être.
L’évaluation des risques de l’IA est le processus interne par lequel une organisation identifie, évalue et priorise les risques associés à ses systèmes d’IA. Elle se demande ce qui pourrait mal tourner, à quelle fréquence cela pourrait se produire et quel en serait l’impact. C’est la base sur laquelle tout le reste repose. Sans une évaluation des risques crédible, ni l’audit ni l’assurance n’ont de base significative.
L’audit de l’IA est l’examen indépendant de la conformité d’un système d’IA, ou du cadre de gouvernance qui l’entoure, aux normes, politiques ou exigences définies. C’est un processus basé sur des preuves, mené par une partie suffisamment indépendante de ceux qui sont responsables du système examiné.
L’assurance de l’IA est la conclusion formelle, orientée vers les parties prenantes, qui émerge de ce processus d’audit. C’est l’opinion professionnelle, émise par une partie qualifiée et indépendante, qui donne confiance aux conseils, aux régulateurs et au public quant à la conformité d’un système d’IA ou d’un cadre de gestion de l’IA à une norme définie.
Implémentation de l’assurance de l’IA
Le concept d’assurance indépendante n’est pas nouveau pour les conseils d’administration. Chaque année, des auditeurs externes examinent les états financiers d’une organisation et émettent une opinion, fondée sur des preuves, réalisée selon des normes reconnues internationalement. Cette logique s’applique quel que soit le secteur.
La même logique s’applique désormais à l’IA. Lorsqu’une organisation fait une déclaration publique ou réglementaire concernant ses systèmes d’IA, la question est : qui valide cette affirmation de manière indépendante, et selon quel cadre professionnel ?
Qu’est-ce que cela signifie pour les conseils d’administration ?
Trois implications pratiques découlent de ce cadre :
Premièrement, les conseils devraient demander si leurs organisations ont effectué des évaluations des risques rigoureuses sur les systèmes matériels. Ce processus ne doit pas être unique, mais vivant et mis à jour régulièrement.
Deuxièmement, les conseils devraient faire la distinction entre l’audit interne et l’audit externe de l’IA. Les fonctions d’audit interne jouent un rôle crucial, mais un audit tiers indépendant pourrait être nécessaire pour les systèmes ayant un impact significatif.
Troisièmement, alors que les organisations commencent à faire des engagements publics concernant leurs pratiques en matière d’IA, les conseils devraient s’assurer que ces engagements sont soutenus par une assurance crédible.
Conclusion
Il serait incomplet de présenter ce paysage sans reconnaître ses limitations actuelles. L’infrastructure pour l’assurance de l’IA est encore en construction. Les normes professionnelles émergent et les compétences des auditeurs en matière d’IA ne sont pas encore uniformément développées.
Pour les organisations qui ne sont pas encore prêtes à chercher une assurance formelle, il est toujours possible de procéder à une évaluation structurée et régulière des systèmes d’IA matériels.
