Règles de l’IA dans le secteur bancaire : Transformez le cadre de la trésorerie en action
La frontière de l’IA a été comparée à un Far West : priorités concurrentes, contrôle limité et banques et institutions financières en pleine course pour revendiquer leur part dans une ruée vers l’or moderne. Aujourd’hui, un nouveau shérif réglementaire est arrivé. Le Cadre de gestion des risques de l’IA des services financiers du Trésor américain (FS AI RMF) adapte le cadre de gestion des risques de l’IA NIST 2023 pour les institutions financières.
Ce cadre fournit à l’industrie un vocabulaire commun et une architecture de contrôle partagée pour gouverner l’IA – allant de la détection de fraude à l’engagement client en passant par les outils de productivité internes. L’objectif n’est pas de fermer ces villes numériques en pleine expansion, mais de dompter le chaos et d’apporter responsabilité et cohérence à la gouvernance de l’IA.
Évaluation des Risques de l’IA
Le cadre offre aux institutions financières de toutes tailles une manière structurée d’évaluer et de gérer les risques liés à l’IA. Le défi pour la plupart des institutions est que le cadre suppose que les banques savent déjà où l’IA est utilisée au sein de leurs organisations. Celles qui n’ont pas d’inventaire de base de l’utilisation de l’IA feront face à des défis immédiats lors de l’application du cadre.
La mise en œuvre du cadre est un véritable défi, nécessitant une coordination interfonctionnelle et un soutien exécutif. Sans une propriété et une responsabilité claires, les organisations peuvent avoir du mal à opérationnaliser un programme englobant la gouvernance, le juridique, le risque et d’autres fonctions.
Composantes du Cadre FS AI RMF
Le FS AI RMF est structuré autour de quatre composants intégrés :
- Questionnaire sur le stade d’adoption de l’IA : Évalue la maturité institutionnelle.
- Matrice de risques et de contrôles (RCM) : Cartographie des contrôles applicables.
- Guide de mise en œuvre : Fournit des conseils sur l’application.
- Guide de référence des objectifs de contrôle : Offre un soutien technique détaillé.
Processus de Mise en Œuvre
L’application du cadre commence par le Questionnaire sur le stade d’adoption, une auto-évaluation qui classe une institution dans l’un des quatre niveaux de maturité basés sur l’utilisation : Initial, Minimal, Évolutif ou Intégré. Votre stade détermine ensuite quels objectifs de contrôle dans le RCM s’appliquent à vous. Une fois le niveau de maturité déterminé, les contrôles sont construits cumulativement.
La transition d’un stade à un autre est significative et agit comme un multiplicateur de gouvernance. La différence entre Initial et Minimal élargit l’environnement de contrôle de plus de 100 objectifs. Le Questionnaire définit l’étendue et la rigueur de vos obligations de gestion des risques sous le cadre.
Défis d’Inventaire de l’IA
Voici le défi : construire l’inventaire de l’IA est l’un des objectifs de contrôle, mais une organisation ne peut pas compléter le Questionnaire sans un inventaire de base de l’utilisation de l’IA. Cela inclut tout, d’un chatbot de production à un déploiement d’entreprise de ChatGPT.
Pour que le questionnaire détermine avec précision le stade d’adoption et l’exposition aux risques, l’analyse de l’utilisation de l’IA doit être exhaustive. Le questionnaire évalue six dimensions – impact commercial, gouvernance, modèle de déploiement, utilisation de l’IA tiers, objectifs organisationnels et sensibilité des données.
Évaluation Subjective
Le questionnaire est une évaluation subjective, et les opinions au sein de la même organisation peuvent varier. Bien que le cadre ne spécifie pas de directives sur la classification de la maturité, il est probable qu’une approche vers un stade plus mature soit préférable. Sous-estimer la maturité peut augmenter le risque de l’organisation en négligeant des contrôles essentiels pour l’utilisation de l’IA.
Une fois que vous avez construit un inventaire de travail et fait un choix réfléchi sur votre stade d’adoption, le reste du cadre devient plus simple. Le RCM cartographie les déclarations de risque à des objectifs de contrôle spécifiques pour votre stade.
Exemple Pratique
Considérons une banque de taille intermédiaire qui a avancé prudemment dans l’IA. Elle a deux déploiements : un chatbot orienté client et un accès à ChatGPT pour les employés. Chacun représente des profils de risque distincts au sein de la même institution.
Avant de commencer le Questionnaire, la banque doit documenter ses outils d’IA. Le chatbot est simple : acquis et détenu par quelqu’un au sein de l’organisation. En revanche, le ChatGPT d’entreprise, accessible à tous les employés, peut être opaque dans son utilisation.
Le questionnaire évalue les pratiques actuelles en matière d’IA et aide à identifier les écarts entre les contrôles actuels et ceux du RCM, qui deviendra la feuille de route pour prioriser les actions à mesure que l’utilisation de l’IA évolue.
Enfin, la mise en œuvre de ce travail nécessite une coordination entre la gouvernance, le juridique, la conformité, la technologie, la gestion des fournisseurs, les ressources humaines et le conseil d’administration. Cela exige des ressources dédiées, une propriété claire et un soutien exécutif, ce qui n’est pas le cas dans de nombreuses institutions.