Gouvernance de l’IA tout au long du cycle de vie

L’IA gouvernante est un processus continu qui couvre l’ensemble du cycle de vie d’un actif d’IA, de la demande initiale et de l’admission au déploiement, à la surveillance et à la réalisation de valeur. Vous pouvez utiliser les Tour de contrôle IA applications (AICT) et Risque et conformité de l'IA (AIRC) ensemble pour soutenir une approche coordonnée de la gouvernance de l’IA d’entreprise.

AICT offre une visibilité centralisée et une gestion de l’état du cycle de vie des initiatives d’IA dans l’ensemble de l’organisation. L’AIRC fournit des fonctionnalités de gouvernance des risques, réglementaires et éthiques qui aident les organisations à évaluer si les systèmes d’IA sont développés et exploités de manière responsable et éthique.

Lorsqu’un nouveau système d’IA est introduit ou qu’un système existant est considérablement mis à jour et enregistré pour la gouvernance, il entre dans un cycle de vie gouverné. Ce cycle de vie couvre l’admission, l’évaluation, la création, la révision, le déploiement et la surveillance. Les activités de gouvernance tout au long de ce cycle de vie aident les organisations à comprendre les risques, à appliquer les contrôles appropriés et à prendre des décisions de déploiement éclairées.

Dans le cadre de ce cycle de vie, les systèmes d’IA font généralement l’objet d’évaluations de l’impact et des risques pour évaluer l’exposition réglementaire, les considérations éthiques et les risques opérationnels. Les résultats de l’évaluation éclairent la classification des risques, les contrôles requis et l’acheminement des examens. Au cours du développement, la gouvernance se concentre sur l’attestation de contrôle, la gestion des problèmes et la gestion des exceptions de politique du point de vue du risque et de la conformité.

Avant le déploiement, les systèmes d’IA sont examinés pour confirmer que les évaluations requises sont terminées. Les problèmes en suspens et les exceptions de politique doivent être résolus ou officiellement acceptés, et la situation de risque résiduel du système doit être comprise. Sur la base de cet examen, le système d’IA peut être approuvé pour le déploiement, renvoyé pour rattrapage ou bloqué de la mise en production.

Après le déploiement, les systèmes d’IA passent à une phase de surveillance opérationnelle. La surveillance continue de la gouvernance permet de maintenir la visibilité sur les risques émergents, les changements d’utilisation et l’évolution des exigences de conformité. Des changements ou des incidents importants peuvent nécessiter que les activités de gouvernance reviennent dans des phases antérieures du cycle de vie.

En appliquant une gouvernance cohérente tout au long du cycle de vie de l’IA, les organisations peuvent centraliser la visibilité de l’utilisation de l’IA et aligner les initiatives d’IA sur la stratégie business. Cette approche aide également les organisations à évaluer et à gérer les risques liés à l’IA interne et tierce, et à prendre en charge un déploiement évolutif avec une surveillance continue.

Le traitement de l’AICT et de l’AIRC comme un cadre de gouvernance coordonné permet une surveillance cohérente de tous les processus du cycle de vie, de la demande à la réalisation de la valeur et à la fermeture du cycle de vie.

En résumé, vous pouvez utiliser chaque application comme suit :

• AICT gère le cycle de vie de l’IA et sert de système d’enregistrement.

  Pour en savoir plus, consultez AI Control Tower Home, AI asset lifecycle et Exploring AI Control Tower.

• L’AIRC assure une gouvernance indépendante des risques, de la réglementation et du contrôle.
• La progression du cycle de vie dans AICT dépend des décisions en matière de risque et de conformité prises dans AIRC.

  Pour en savoir plus sur la façon dont ces informations sont affichées dans AICT, reportez-vous à la section Risk and compliance tab in AI Control Tower.

• Aucune des deux applications ne remplace l’autre ; Ensemble, ils soutiennent un cadre de gouvernance coordonné.

Rôles et responsabilités de gouvernance de l’IA

Le cycle de vie de la gouvernance de l’IA implique des rôles distincts avec des responsabilités clairement séparées entre AICT et AIRC.

Les propriétaires des actifs IA [sn_ai_asset_mgmt.ai_asset_owner] (également appelés propriétaires de produits) sont responsables des systèmes, modèles et ensembles de données d’IA en tant qu’actifs IA. Ils initient l’admission et fournissent le contexte commercial pendant l’évaluation.

Les propriétaires des actifs IA autorisent les décisions de déploiement et de mise hors service. Ces décisions sont soumises à l’approbation des risques et de la conformité applicables. Les propriétaires d’actifs IA possèdent également des résultats tels que la réalisation de valeur et la fermeture du cycle de vie.

Les gestionnaires des risques et de la conformité de l’IA [sn_grc_ai_gov.ai_risk_and_compliance_manager] assurent une surveillance indépendante des risques et de la réglementation. Ils lancent et supervisent les évaluations de l’impact et des risques, déterminent la classification des risques, valident l’implémentation des contrôles et approuvent ou bloquent la progression du cycle de vie.

Les utilisateurs métier Risque et conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user] et les administrateurs IA [sn_ai_governance_ai_steward] exécutent des activités de gouvernance. Ces rôles contribuent aux entrées d’évaluation, exécutent les tâches affectées telles que les attestations de contrôle et prennent en charge le rattrapage et la gestion des problèmes. Ils permettent également de maintenir les registres d’inventaire précis tout au long du cycle de vie.

D’autres personnes concernées par la gouvernance, telles que les équipes de sécurité, juridiques, de confidentialité ou de gouvernance des données, participent selon les besoins. Ils apportent leur expertise lors des activités d’évaluation, d’examen et d’enquête. Ces parties prenantes ne sont pas propriétaires des décisions relatives au cycle de vie.

Pour plus d’informations sur les rôles dans AICT et AIRC, consultez Rôles installés avec Risque et conformité de l'IA et AI Control Tower roles.

Phases et processus du cycle de vie de gouvernance IA

Ces phases décrivent les activités de gouvernance de l’IA à un niveau conceptuel et peuvent s’étendre sur plusieurs étapes de workflow dans AICT et AIRC.

Demande : admission ou intégration

Le cycle de vie commence avec l’admission, où de nouveaux cas d’utilisation d’IA, des améliorations et des idées sont soumis à la gouvernance. L’admission établit un point d’entrée centralisé pour capturer l’objectif, le périmètre, les résultats escomptés et le contexte d’utilisation d’un système d’IA. Cette phase fournit une visibilité précoce de la demande d’IA, ce qui permet aux organisations d’identifier les risques, doublons ou désalignements potentiels avant le début du développement.

Tout membre de l’équipe disposant des rôles métier Propriétaires des actifs IA, Administrateur IA ou AIRC peut soumettre des informations relatives à l’admission avec une demande d’admission afin Centre des employés de déterminer si une initiative d’IA doit entrer dans le cycle de vie régi en fonction de son intention, de sa portée et de son alignement organisationnel. Si vous avez le rôle de propriétaire d’actif IA ou d’administrateur IA, vous pouvez examiner et faire progresser les demandes d’admission à l’aide de l’espace de Tour de contrôle IA travail après leur soumission via le Centre des employés.

Pour plus d’informations sur les demandes d’admission dans AIRC et AICT, consultez Demandes d'admission, Demander un ticket d'utilisation IADemander un modèle d'IA, et Demander un jeu de données.

Lors de l’admission, les éléments suivants sont créés ou requis : une demande d’admission d’IA, un enregistrement initial du système d’IA et le contexte business de l’initiative d’IA.

Toutes les admissions de tickets d’utilisation de l’IA, y compris les cas d’utilisation internes et tiers, sont gérées dans l’application Tour de contrôle IA . Tour de contrôle IA est nécessaire pour enregistrer les systèmes d’IA et les cas d’utilisation qui doivent entrer dans le cycle de vie de l’IA gouvernée et sert de système d’enregistrement pour le suivi du cycle de vie et la visibilité du portefeuille.

L’AIRC ne possède pas l’admission des cas d’utilisation de l’IA. Si vous disposez d’AIRC, vous pouvez participer après l’admission en contribuant au contexte de gouvernance des risques et de la conformité, tel que les évaluations d’impact et l’évaluation réglementaire, une fois qu’un cas d’utilisation de l’IA a été enregistré dans AICT.

Utilisez pour demander un ticket d’utilisation de l’IA Centre des employés pour examen, ou utilisez AICT pour ajouter un actif IA directement dans le cadre de l’intégration approuvée par un prestataire. Pour plus d’informations, voir Create AI system assets, Create an AI case in the AI Control Tower, Create prompt assetsCreate AI model assets, , et Create dataset assets.

Les demandes d’amélioration, les idées et les commentaires peuvent être envoyés et gérés s’il Gestion stratégique des portefeuilles est installé. Les demandes d’amélioration, les idées et les commentaires n’entrent pas dans le cycle de vie de gouvernance d’IA via AICT ou AIRC. Pour plus d'informations sur Gestion stratégique des portefeuilles, consultez Strategic Portfolio Management.

Remarque :

Une demande d’admission représente une proposition visant à introduire ou à régir un cas d’utilisation de l’IA. L’envoi d’une demande d’admission ne crée ni ne déploie d’actif IA. Après examen de l’admission, les systèmes, modèles et ensembles de données d’IA peuvent être enregistrés dans AICT dans le cadre de l’intégration approuvée et du lancement du cycle de vie. Les catégories de système ou de modèle d’IA sélectionnées lors de l’admission (telles que agentique ou générative) fournissent uniquement un contexte descriptif. La progression du cycle de vie, les exigences d’évaluation et les décisions de gouvernance sont déterminées par la classification des risques, les résultats des évaluations et les règles de gouvernance configurées, et non par la sélection de catégorie.

La découverte et l’inventaire des actifs IA sont une aptitude à l’échelle du cycle de vie qui commence pendant la phase de demande et persiste à toutes les étapes du cycle de vie de l’IA gouvernée. Dans le cadre de l’admission et de l’intégration approuvée, les systèmes d’IA, les modèles, les ensembles de données, les invites et les artefacts connexes sont enregistrés ou découverts et enregistrés dans un inventaire centralisé d’IA.

L’inventaire des actifs IA fournit une vue faisant autorité des actifs IA dans l’ensemble de l’entreprise, y compris l’IA développée en interne et l’IA tierce. Les enregistrements d’inventaire persistent de l’admission au déploiement et à la mise hors service, ce qui permet la traçabilité, la visibilité et la gouvernance à mesure que les actifs progressent dans les workflows du cycle de vie.

Les actifs IA peuvent être ajoutés à l’inventaire par le biais d’un enregistrement manuel lors de l’admission et de l’intégration, ainsi que par le biais d’une détection automatisée à l’aide d’intégrations configurées avec des plateformes cloud et tierces prises en charge. Les actifs et les relations détectés sont examinés et complétés par les propriétaires d’actifs IA et les administrateurs IA pour garantir l’exactitude de l’inventaire et la préparation de la gouvernance.

AICT possède et gère l’inventaire des actifs IA et agit en tant que système d’enregistrement pour les enregistrements, les relations et l’état du cycle de vie des actifs IA. AIRC utilise des données d’inventaire pour les activités de gouvernance en aval telles que les évaluations d’impact, la classification des risques, l’évaluation des contrôles et les rapports réglementaires, mais ne crée ni ne possède d’enregistrements d’inventaire.

Remarque :

La détection automatisée nécessite la configuration des intégrations prises en charge. Pour plus d’informations sur la découverte IA d’entreprise et l’ingestion automatisée d’inventaire, consultez AI connections et AI connections setup.

Concevoir et valider : évaluer

Au cours de cette phase, les activités de gouvernance sont exécutées via des playbooks de cycle de vie. Les playbooks sont joints aux enregistrements d’actifs IA dans AICT et définissent les tâches d’évaluation, les approbations et les transferts requis entre les rôles de gouvernance. Les playbooks de cycle de vie coordonnent les tâches requises et les transferts entre les applications AICT et AIRC.

Les playbooks de cycle de vie guident les rôles suivants tout au long du processus d’évaluation :

Les administrateurs IA lancent et gèrent la phase d’évaluation dans AICT en commençant les revues de cycle de vie, en affectant des tâches de playbook et en surveillant la progression globale du cycle de vie dans les systèmes d’IA.

Les propriétaires d’actifs IA fournissent les détails du système et le contexte business dans AICT, et effectuent les évaluations requises (telles que les évaluations de l’impact ou des risques) à l’aide des informations capturées dans l’inventaire des actifs IA.

Les analystes AIRC effectuent des évaluations de gouvernance dans AIRC. Ces évaluations comprennent des évaluations de l’impact réglementaire, la classification des risques et l’identification des contrôles requis sur la base des informations système et commerciales d’AICT.

Les responsables AIRC examinent les résultats des évaluations dans AIRC, déterminent si les risques identifiés sont acceptables et approuvent les contrôles ou les atténuations requis avant que le système d’IA ne puisse progresser dans le cycle de vie.

Tout au long de la phase d’évaluation, AICT coordonne l’exécution des tâches, les approbations et les transitions de statut entre AICT et AIRC, offrant une visibilité sur l’achèvement des évaluations requises avant la progression du cycle de vie.

Au cours de l’évaluation, les éléments suivants sont créés ou mis à jour : résultats de l’évaluation de l’impact, classification des risques, risques identifiés et contrôles recommandés. Ces résultats déterminent si le système d’IA peut passer à la phase de cycle de vie suivante.

Pour en savoir plus, consultez Playbooks, Réaliser une évaluation de l’impact sur un cas d’utilisation de l’IA et Effectuer des évaluations des risques sur les systèmes d’IA.

Concevoir et valider : Concevoir et tester

La phase de conception et de test applique la gouvernance pendant le développement en veillant à ce que les risques identifiés lors de l’évaluation soient traités par le biais de contrôles définis, d’activités de rattrapage et d’étapes de validation.

Les playbooks continuent de guider les activités de correction, d’attestation de contrôle et de collecte de preuves pendant la conception et les tests, la progression du cycle de vie dépendant de l’achèvement des tâches de gouvernance requises.

AICT continue de gérer l’état du cycle de vie et de suivre les progrès de la gouvernance. L’AIRC valide que les contrôles requis sont mis en œuvre et que les problèmes ou exceptions sont documentés et traités tout au long du cycle de vie.

Les propriétaires d’actifs IA et les équipes de développement mettent en œuvre les contrôles et les activités de correction requis. Les utilisateurs métiers et les analystes de l’AIRC examinent les attestations de contrôle et ont soumis des preuves pour valider que les contrôles requis sont mis en œuvre et fonctionnent comme prévu.

Les attestations de contrôle peuvent avoir lieu à plusieurs étapes du cycle de vie, notamment pendant l’évaluation, la construction et la validation, et la séparation. L’achèvement des attestations de contrôle contribue à la préparation de la gouvernance, mais n’approuve pas à lui seul le déploiement.

Les responsables AIRC vérifient que les contrôles et les actions de rattrapage requis sont mis en œuvre et efficaces.

Au cours de la validation, les enregistrements suivants sont créés ou mis à jour : attestations de contrôle, enregistrements de problèmes, preuves de rattrapage et enregistrements d’exception.

Pour en savoir plus, consultez Gérer les contrôles à l’aide de Risque et conformité de l'IA, Créer des attestations de contrôle pour l’actif IA et Corriger un problème dans Risque et conformité de l'IA.

Concevoir et valider : examen préalable au déploiement

Avant le déploiement, les systèmes d’IA font l’objet d’un examen préalable au déploiement pour confirmer que les évaluations requises sont terminées, que les problèmes et exceptions hautement prioritaires sont traités et que le risque résiduel est compris et documenté.

AICT gère la porte du cycle de vie préalable au déploiement. AIRC effectue un examen final de la gouvernance pour déterminer l’état de préparation au déploiement en fonction de la situation vis-à-vis du risque, de l’implémentation des contrôles et du risque résiduel.

Au cours de l’examen préalable au déploiement, les playbooks montrent l’état de préparation de la gouvernance en affichant l’achèvement de l’évaluation, l’état du contrôle, les problèmes ouverts et le risque résiduel documenté. Les playbooks n’approuvent pas le déploiement. Les décisions d’approbation ou de rejet sont prises par les responsables AIRC et reflétées dans l’état du cycle de vie géré par AICT.

Les responsables AIRC approuvent ou bloquent le déploiement en fonction de l’état de préparation de la gouvernance et du risque résiduel.

Les décisions de gouvernance sont prises dans AIRC, tandis que les changements d’état du cycle de vie sont enregistrés et appliqués dans AICT.

Pour plus d'informations, consultez Overview tab in AI Control Tower et Onglet Risque et conformité.

Déployez, surveillez et évaluez la valeur : surveiller

Après le déploiement, les activités de gouvernance surveillent les systèmes d’IA pour détecter les événements signalés, les changements opérationnels et les signaux de gouvernance. Ces activités soutiennent une gestion efficace des risques et une réactivité aux risques émergents grâce à des évaluations, des examens et des mises à jour réglementaires. La surveillance continue aide les organisations à identifier rapidement les risques émergents et à maintenir une posture de gouvernance vérifiable après le déploiement.

La surveillance continue peut générer des événements de gouvernance qui nécessitent une enquête ou une prise de décision officielle. Gestion des tickets IA prend en charge ces activités de gouvernance pilotées par les événements en permettant l’enquête, la gestion des exceptions, la documentation et la réévaluation sans rompre la continuité du cycle de vie.

La gestion des tickets d’IA est une aptitude à cycle de vie croisé dans AIRC qui prend en charge les enquêtes, la gestion des exceptions et la réponse réglementaire sans modifier la phase de cycle de vie du système d’IA, sauf si les décisions de gouvernance l’exigent.

AICT suit l’état du cycle de vie et les signaux opérationnels. L’AIRC utilise les sorties de surveillance pour déterminer quand une réévaluation, des mises à jour des contrôles ou une intervention de gouvernance sont nécessaires.

Les responsables de l’AIRC déterminent si des changements, des réévaluations ou une intervention sont nécessaires en fonction de signaux opérationnels ou de gouvernance. Les tickets et les enquêtes font partie intégrante de la gouvernance continue de l’IA et n’indiquent pas nécessairement un échec ou une non-conformité.

Pour en savoir plus, consultez AI cases tab in AI Control Tower, Tickets et requêtes d’IA et Onglet Opérations.

Déployez, surveillez et évaluez la valeur : valeur

Le processus de valeur se concentre sur la mesure de l’adoption, des performances et des résultats afin de comprendre si les initiatives d’IA apportent la valeur commerciale et l’impact stratégique attendus. La mesure de la valeur aide les organisations à déterminer, à l’aide d’un examen des risques et de la conformité, si l’exposition continue au risque lié à l’IA est justifiée par les résultats commerciaux obtenus.

AICT capture les mesures de valeur, d’adoption et de résultat, et les associe aux systèmes d’IA et aux cas d’utilisation tout au long du cycle de vie.

Les propriétaires des actifs IA déterminent s’il convient de maintenir, d’étendre, d’ajuster ou de mettre hors service le système d’IA en fonction des résultats mesurés et de la valeur commerciale. Les responsables de l’AIRC confirment que le risque continu reste acceptable dans le cadre de cette décision.

La mesure de la valeur informe sur l’acceptation continue des risques et aide à justifier l’exposition continue au risque lié à l’IA.

Les résultats de valeur capturés dans l’AICT peuvent être mis à disposition pour Gestion stratégique des portefeuilles éclairer des décisions plus larges de planification, de financement et de hiérarchisation du portefeuille au-delà des actifs d’IA individuels.

Les actions de gouvernance identifiées au cours de la surveillance peuvent entraîner une réévaluation, des contrôles supplémentaires ou des mises à jour de l’état du cycle de vie gérées via AICT.

Pour en savoir plus, consultez Value tab in AI Control Tower, Adoption tab in AI Control Tower et Console de la carte thermique des risques IA.

Fermeture du cycle de vie : mettre hors service et se séparer

La gouvernance de l’IA comprend la fermeture du cycle de vie. Les systèmes, modèles et ensembles de données d’IA peuvent être mis hors service ou retirés lorsqu’ils ne répondent plus aux besoins de l’entreprise, introduisent des risques inacceptables ou n’apportent pas la valeur attendue. La fermeture du cycle de vie réduit le risque résiduel en veillant à ce que les actifs d’IA soient officiellement mis hors service, documentés et ne soient plus soumis à des obligations de gouvernance actives.

AICT gère la fermeture du cycle de vie et met à jour l’état du cycle de vie du système d’IA. L’AIRC valide que les obligations finales en matière de gouvernance sont respectées et qu’il ne reste plus aucune exigence en matière de risque ou de conformité.

Les propriétaires des actifs IA, avec la confirmation des responsables AIRC, autorisent les décisions de mise hors service ou de séparation.

Au cours de la gestion du départ, les éléments suivants sont créés ou mis à jour : état du cycle de vie mis à jour, justification de la retraite et enregistrement de gouvernance final.

Pour plus d'informations, consultez Complete AI asset lifecycle et Séparation des actifs IA : examen.