Ce que les conseils d'administration devraient exiger de l'IA : évaluation, audit et assurance

Par Erika Fille T. Legara

DANS UN PRÉCÉDENT article de BusinessWorld, j'ai soutenu que la gouvernance de l'IA va au-delà de la supervision d'une poignée de projets technologiques et englobe désormais la garantie que les décisions pilotées par l'IA dans l'ensemble de l'organisation restent alignées sur la stratégie, l'appétit pour le risque et les normes éthiques. Une question naturelle qui se pose aux conseils d'administration est la suivante : au-delà de la définition des attentes, comment une organisation vérifie-t-elle que ses systèmes d'IA fonctionnent réellement comme prévu, de manière responsable et dans des limites définies ?

La réponse réside dans trois disciplines liées mais distinctes : l'évaluation des risques de l'IA, l'audit de l'IA et l'assurance de l'IA. Les conseils d'administration familiers avec la supervision financière trouveront la logique intuitive. Le défi, et l'opportunité, consiste à appliquer cette même discipline à l'IA.

3 CONCEPTS DISTINCTS MAIS LIÉS
Il est utile d'être précis sur ce que signifie chaque terme, car ils sont souvent utilisés de manière interchangeable alors qu'ils ne devraient pas l'être.

L'évaluation des risques de l'IA est le processus interne par lequel une organisation identifie, évalue et hiérarchise les risques associés à ses systèmes d'IA. Elle se demande ce qui pourrait mal tourner, quelle est la probabilité que cela se produise et quel serait l'impact. C'est le fondement sur lequel repose tout le reste. Sans une évaluation des risques crédible, ni l'audit ni l'assurance n'ont de référence significative sur laquelle travailler. Des systèmes d'IA importants existent dans tous les secteurs : un modèle de notation de crédit dans une banque, un outil de triage des patients dans un hôpital, un prédicteur de performance des étudiants dans une université, un système de priorisation des cas dans une agence gouvernementale. Ce qu'ils partagent, c'est la conséquence, qui inclut des résultats affectant des personnes réelles de manière significative.

Pour un tel système, l'évaluation des risques doit être systématique, documentée et réexaminée régulièrement à mesure que le modèle évolue et que l'environnement opérationnel change.

L'audit de l'IA est l'examen indépendant visant à déterminer si un système d'IA, ou le cadre de gouvernance qui l'entoure, est conforme aux normes, politiques ou exigences définies. Il s'agit d'un processus fondé sur des preuves, mené par une partie suffisamment indépendante de celles responsables du système examiné. Un audit de l'IA peut évaluer si les pratiques de gestion de l'IA d'une organisation sont conformes à une norme reconnue internationalement, telle que l'ISO/IEC 42001, la première norme mondiale de système de gestion de l'IA publiée en 2023, ou si un modèle spécifique fonctionne dans les paramètres approuvés et sans biais involontaire. Il est important de noter que la norme régissant les auditeurs eux-mêmes, l'ISO/IEC 42006, publiée en juillet 2025, définit désormais les compétences et la rigueur requises des organismes qui auditent et certifient les systèmes de gestion de l'IA. La profession d'audit, en d'autres termes, commence à formaliser sa propre responsabilité pour les missions liées à l'IA.

L'assurance de l'IA est la conclusion formelle, destinée aux parties prenantes, qui émerge de ce processus d'audit. C'est l'opinion professionnelle, émise par une partie qualifiée et indépendante, qui donne aux conseils d'administration, aux régulateurs, aux investisseurs et au public la confiance qu'un système d'IA ou un cadre de gestion de l'IA répond à une norme définie. L'assurance est ce qui transforme un examen interne en un signal externe crédible.

FONDER L'ASSURANCE DE L'IA
Le concept d'assurance indépendante n'est pas nouveau pour les conseils d'administration. Chaque année, les auditeurs externes examinent les états financiers d'une organisation et émettent une opinion ; une conclusion fondée sur des preuves, menée selon des normes reconnues internationalement et soutenue par l'indépendance professionnelle de l'auditeur. Cette opinion a du poids précisément parce que le cadre qui la régit est rigoureux et bien établi. Cette logique s'applique quel que soit le secteur ; que l'organisation soit une banque, un hôpital, un conglomérat ou une institution publique, l'audit financier est un mécanisme familier et de confiance.

La même logique s'applique maintenant à l'IA. Lorsqu'une organisation fait une déclaration publique ou réglementaire concernant ses systèmes d'IA, affirmant qu'ils sont équitables, transparents, conformes à une norme définie ou exempts de biais matériel, la question est : qui valide indépendamment cette affirmation, et dans quel cadre professionnel ?

La réponse, pour la profession comptable et d'audit, est l'ISAE 3000, la Norme internationale sur les missions d'assurance émise par l'International Auditing and Assurance Standards Board (IAASB). L'ISAE 3000 régit les missions d'assurance sur des questions autres que les informations financières historiques, ce qui en fait le cadre naturel pour l'assurance de l'IA. Selon cette norme, un professionnel peut mener soit une mission d'assurance raisonnable, la norme la plus élevée analogue à un audit financier, soit une mission d'assurance limitée, qui se rapproche davantage d'un examen. Le choix du niveau importe et doit être délibéré, calibré en fonction de l'importance et du risque du système d'IA en question.

Un parallèle contemporain proche est l'assurance en matière de durabilité ou ESG. De nombreuses entreprises cotées aux Philippines commandent déjà une assurance indépendante sur leurs divulgations en matière de durabilité, souvent dans le cadre de l'ISAE 3000. Les mécanismes sont exactement les mêmes : un praticien indépendant examine un ensemble d'affirmations par rapport à des critères définis et émet une conclusion formelle. Le sujet diffère ; la discipline professionnelle ne diffère pas.

CE QUE CELA SIGNIFIE POUR LES CONSEILS D'ADMINISTRATION
Trois implications pratiques découlent de ce cadre.

Premièrement, les conseils d'administration devraient se demander si leurs organisations ont effectué des évaluations des risques de l'IA rigoureuses sur les systèmes importants. Non pas un exercice ponctuel, mais un processus évolutif qui est mis à jour à mesure que les modèles sont réentraînés, que les cas d'utilisation s'étendent et que l'environnement réglementaire évolue. La qualité du travail d'audit et d'assurance en aval n'est aussi bonne que l'évaluation des risques qui le précède.

Deuxièmement, les conseils d'administration devraient faire la distinction entre l'audit interne et externe de l'IA. Les fonctions d'audit interne jouent un rôle essentiel en fournissant l'assurance que les contrôles de l'IA fonctionnent comme prévu. Cependant, les conseils d'administration devraient également se demander si un audit indépendant par une partie tierce des systèmes d'IA importants est justifié, en particulier pour les systèmes qui affectent les clients, les employés ou le public de manière conséquente. Comme pour l'audit financier, l'indépendance renforce la crédibilité.

Troisièmement, alors que les organisations prennent de plus en plus d'engagements publics concernant leurs pratiques en matière d'IA auprès des régulateurs, des investisseurs et des communautés qu'elles servent, les conseils d'administration devraient se demander si ces engagements sont soutenus par une assurance crédible. Les affirmations sans validation indépendante constituent, au mieux, un risque de réputation qui attend de se matérialiser.

UNE PROFESSION QUI DÉVELOPPE ENCORE SES CAPACITÉS
Il serait incomplet de présenter ce paysage sans reconnaître ses limites actuelles. L'infrastructure pour l'assurance de l'IA est encore en cours de construction. Les normes professionnelles émergent. Les compétences des auditeurs en IA, couvrant l'apprentissage automatique, les biais algorithmiques, la gouvernance des données et la transparence des modèles, ne sont pas encore uniformément développées dans l'ensemble de la profession. L'ISAE 3000 fournit le cadre d'assurance, mais les méthodologies spécifiques à l'IA qui s'y trouvent sont encore en cours de maturation.

Pour les organisations qui ne sont pas encore prêtes à poursuivre une assurance formelle, ce n'est pas une raison de rester immobile. Une évaluation structurée et régulière des systèmes d'IA importants est une première étape significative et pratique. Elle développe la discipline interne, la documentation et les habitudes de gouvernance que la préparation à l'assurance nécessite éventuellement. Les conseils d'administration qui commandent de telles évaluations aujourd'hui, même de manière informelle, développent une capacité institutionnelle qui importera lorsque les attentes réglementaires se durciront et que l'examen des parties prenantes s'intensifiera.

Ce point de vue est celui que j'ai exploré plus en profondeur dans des recherches que j'ai développées avec des collègues examinant la gouvernance de l'IA générative dans des économies où la réglementation doit encore rattraper la technologie. L'argument central est que les entreprises sont déjà des agents moraux ayant des obligations éthiques existantes envers leurs parties prenantes ; attendre une législation spécifique à l'IA n'est ni nécessaire ni suffisant pour une gouvernance responsable. L'obligation d'agir est déjà là. Ce qui est nécessaire, c'est la volonté organisationnelle de l'opérationnaliser.

Ce n'est pas une raison pour les conseils d'administration d'attendre sur l'agenda plus large. C'est une raison de poser des questions éclairées maintenant, à leurs auditeurs externes, à leurs fonctions d'audit interne et à leurs équipes de direction, afin que lorsque les capacités de la profession rattraperont la demande, leurs organisations soient prêtes à s'engager de manière significative.

L'audit financier n'est pas apparu complètement formé. Il a fallu des décennies d'établissement de normes, de développement professionnel et de leçons difficiles tirées des échecs d'entreprises pour que l'audit indépendant devienne l'institution crédible qu'il est aujourd'hui. L'assurance de l'IA se trouve à un point d'inflexion précoce comparable. Les conseils d'administration qui s'y engagent maintenant, posent des questions plus pointues à leurs auditeurs, exigent plus que des affirmations de la direction et développent des capacités internes avant que les régulateurs ne l'exigent, non seulement réduiront leur propre exposition. Ils contribueront à façonner ce à quoi ressemble la responsabilité responsable de l'IA pour les organisations philippines et la région au sens large.

Erika Fille T. Legara est physicienne, éducatrice et praticienne en science des données et en IA, travaillant dans les secteurs gouvernemental, académique et industriel. Elle est la directrice générale inaugurale et directrice de l'IA et des données du Centre d'éducation pour la recherche en IA, et professeure associée et titulaire de la chaire Aboitiz en science des données à l'Asian Institute of Management, où elle a fondé et dirigé le premier programme de MSc en science des données du pays de 2017 à 2024. Elle siège à des conseils d'administration d'entreprises, est membre de l'Institute of Corporate Directors, professionnelle certifiée en gouvernance de l'IA par l'IAPP et cofondatrice de CorteX Innovations.