Intelligence artificielle pour le directeur des risques.
Le CRO porte la responsabilité finale du dispositif de gestion des risques. Pour les modèles IA, le cadre se compose : SR 11-7 et orientations EBA pour la gouvernance modèles, Règlement européen sur l'IA pour le classement et la documentation, DORA pour la résilience et l'externalisation, NIS2 si l'entité est essentielle. Notre approche livre des systèmes qui passent ces régimes simultanément, avec un dispositif exploitable par vos trois lignes de défense.
Cinq préoccupations que nous traitons par défaut
- Inventaire et matérialité. Inventaire des modèles IA tenu à jour, qualification de matérialité, cartographie des dépendances inter-modèles.
- Validation indépendante. Dossier de validation aligné SR 11-7 livré avec le système, tests reproductibles, sensibilité aux dérives, robustesse adversariale.
- Classement Règlement IA. Qualification annexe III, documentation technique annexe IV, fiche modèle, marquage CE pour les composants concernés.
- Externalisation DORA. Registre TIC, droits d'audit, plan de sortie testé, clauses de notification d'incident dans les délais.
- Suivi continu. Indicateurs mensuels, détection de dérive, revalidation annuelle, comité modèles trimestriel formalisé.
Le pilier TRACE qui sert votre rôle : Préparation
Sur TRACE, la lettre R correspond à la préparation. Pour un CRO, c'est l'étape qui détermine la robustesse du dispositif final. Audit des données, audit des processus, échantillonnage à volume réel, qualification des risques avant écriture du moindre code de production. Les surprises identifiées en phase R coûtent dix fois moins cher que celles découvertes après mise en production. Lire la méthodologie TRACE complète.
Lectures complémentaires
- Gestion des risques modèles IA en banque : cadre SR 11-7 appliqué à l'IA.
- DORA et externalisation IA : obligations contractuelles et registre TIC.
- Guide ISO 42001 : système de management IA certifiable.
- NIST AI RMF : cadre opérationnel international.
Livrables que nous produisons pour le CRO
- Dossier de validation SR 11-7 prêt à présenter à la deuxième ligne.
- Fiche modèle alignée annexe IV du Règlement IA.
- Registre TIC DORA avec qualification critique ou importante.
- Plan de revalidation annuelle et seuils d'alerte calibrés sur cas réels.
- Modèles de notification d'incident préremplis pour ACPR, ANSSI et CNIL.
Questions fréquentes
Comment articulez-vous SR 11-7 avec le Règlement IA ?
Les contrôles communs sont mutualisés. La fiche modèle annexe IV reprend la structure du dossier SR 11-7 en y ajoutant les sections spécifiques (transparence, supervision humaine, gestion qualité).
Travaillez-vous avec une équipe de validation interne ?
Oui, nous fournissons les artefacts en format exploitable par votre équipe validation indépendante. Le transfert de connaissances est intégré au programme.
Comment se déroule un contrôle ACPR ?
L'ACPR demande l'inventaire, la documentation par modèle, les preuves de validation et les preuves de suivi. Nos livraisons couvrent ces quatre éléments par défaut.