Ce que les conseils devraient exiger de l’IA : évaluation, audit et assurance
Dans un monde où la gouvernance de l’IA dépasse la simple supervision de projets technologiques, elle englobe désormais la nécessité de garantir que les décisions prises par les systèmes d’IA restent alignées avec la stratégie, l’appétit pour le risque et les normes éthiques.
Les Trois Concepts Distincts mais Connexes
Il est essentiel de préciser ce que chaque terme signifie, car ils sont souvent utilisés de manière interchangeable, alors qu’ils ne devraient pas l’être.
Évaluation des risques de l’IA : Ce processus interne permet à une organisation d’identifier, d’évaluer et de prioriser les risques associés à ses systèmes d’IA. Il s’agit de se demander ce qui pourrait mal tourner, à quel point cela est probable et quelles en seraient les conséquences. C’est la base sur laquelle repose tout le reste. Sans une évaluation des risques crédible, ni audit ni assurance n’auraient de sens.
Audit de l’IA : Il s’agit d’un examen indépendant pour déterminer si un système d’IA ou le cadre de gouvernance qui l’entoure respecte des normes, des politiques ou des exigences définies. L’audit de l’IA pourrait évaluer si les pratiques de gestion de l’IA d’une organisation sont conformes à des normes reconnues au niveau international.
Assurance de l’IA : C’est la conclusion formelle, destinée aux parties prenantes, qui émerge de ce processus d’audit. L’assurance est l’opinion professionnelle, émise par une partie qualifiée et indépendante, qui donne confiance aux conseils, aux régulateurs, aux investisseurs et au public sur le fait qu’un système d’IA respecte une norme définie.
Implémentation de l’Assurance de l’IA
Le concept d’assurance indépendante n’est pas nouveau pour les conseils. Chaque année, des auditeurs externes examinent les états financiers d’une organisation et émettent une opinion fondée sur des preuves. Cette logique s’applique également à l’IA. Lorsque l’organisation fait une déclaration publique concernant ses systèmes d’IA, la question est : qui valide indépendamment cette affirmation ?
Ce que cela Signifie pour les Conseils
Trois implications pratiques découlent de ce cadre :
- Les conseils doivent s’assurer que des évaluations des risques de l’IA rigoureuses ont été réalisées sur les systèmes matériels.
- Ils devraient faire la distinction entre audit interne et audit externe de l’IA.
- Les conseils doivent se demander si les engagements publics concernant les pratiques d’IA sont soutenus par une assurance crédible.
Un Métier en Cours de Développement
Il est important de reconnaître que l’infrastructure pour l’assurance de l’IA est encore en construction. Les normes professionnelles émergent, et les compétences des auditeurs dans les domaines de l’IA, de l’apprentissage automatique, et de la transparence des modèles ne sont pas encore uniformément développées. Pour les organisations qui ne sont pas prêtes à poursuivre une assurance formelle, il est nécessaire d’engager une évaluation structurée et régulière des systèmes matériels d’IA.
En agissant dès maintenant, les conseils peuvent commencer à poser des questions informées et à se préparer pour un avenir où l’assurance de l’IA sera essentielle.