Post de Naaia

Tout le monde parle de l'IA Act qui est certes la réglementation applicable, mais peu de l'essor des référentiels visant à encadrer la gouvernance de l'IA. Nous avons fait une analyse entre les deux principaux pour comprendre le contenu "réel" de ces textes (et non du bullshit très général proposé par les LLM)

Excellent le National Institute of Standards and Technology (NIST) a publié le Risk Management Framework sur l’IA Generative (#GAI). Ce document identifie les risques nouveaux ou exacerbés par l'utilisation du #GAI et propose un ensemble d'actions pour aider les organisations à gouverner, cartographier, mesurer et gérer ces risque. Les descriptions des risques sont simples, excellentes pour encadrer et exécuter les efforts de gestion des risques : confidentialité des données, configuration humain-IA, l'intégrité des informations, sécurité de l'information, propriété intellectuelle, contenu obscène, dégradant et/ou abusif, toxicité, biais et homogénéisation, chaîne de valeur et intégration des composants, etc. Les actions de gestion des risques #GAI sont organisées par sous-catégorie #AI RMF. Ce sont plus de 500 actions à mettre en œuvre sur des thématiques variées : Processus, inventaire, rôles et responsabilités, tests, suivi, KPI de performance, transparence, impact environnemental, gestion des incidents... très complet. C'est définitivement un #MustRead Il peut être avantageux de mettre à jour votre #AISecurity Framework !

Management des risques et IA

🔍 Une analyse comparative entre l'ISO/IEC 42001 et le NIST AI RMF ! Ces cadres offrent des approches complémentaires pour gérer les risques associés à l'intelligence artificielle. Explorez comment chacun d'eux aborde la gouvernance, la gestion des risques et les principes éthiques. Un guide essentiel pour toute organisation cherchant à naviguer dans le monde complexe de l'IA. 🌐🤖 Smart Skills PECB #IA #ISO #NIST #GestionDesRisques #Éthique

🤖 Trouver l'équilibre : L'IA dans la gouvernance, le risque et la conformité (GRC).  La gestion des risques a pris une place centrale dans les discussions du conseil d'administration, poussée par un environnement commercial complexe et rapide. L'IA introduit à la fois de l'excitation et de la prudence dans ce mélange.  Principale leçon à retenir ? N'adoptez pas l'IA juste pour le plaisir. Identifiez les domaines dans lesquels elle apporte une réelle valeur ajoutée et améliore la gouvernance. Dans un monde débordant de données, l'IA peut changer la donne dans la gestion de la GRC, mais elle nécessite une approche stratégique.  Lire l'intégralité du blog aujourd'hui. #AI #Gouvernance #Gestion des risques

La maturité du contrôle permanent est un concept clé dans la gestion des risques et le contrôle interne au sein des entreprises, notamment dans les secteurs réglementés comme la finance et l'assurance. Le contrôle permanent désigne l'ensemble des dispositifs mis en place de manière continue pour surveiller, mesurer, et améliorer les processus internes d'une organisation afin de garantir la conformité aux normes, lois, et régulations applicables. Les principaux objectifs du contrôle permanent sont de prévenir les risques, de détecter les anomalies, et de corriger les dysfonctionnements. La maturité du contrôle permanent peut être évaluée à travers différents niveaux, qui reflètent la sophistication et l'efficacité des dispositifs de contrôle en place. Les niveaux de maturité typiques incluent : 1.Niveau Initial : Le contrôle permanent est peu structuré, réactif et basé principalement sur des initiatives ad hoc. Les processus sont peu documentés et il existe une faible sensibilisation aux risques. 2. Niveau Répétable : Les procédures de contrôle commencent à être formalisées, mais leur application est inconsistante. Il existe des efforts pour documenter les processus, mais la compréhension des risques reste limitée. 3. Niveau Défini : Les procédures de contrôle sont bien documentées et systématiquement appliquées. La gestion des risques est intégrée aux processus métiers, et il existe une prise de conscience accrue des enjeux de conformité. 4. Niveau Géré : Le contrôle permanent est proactif et intégré de manière cohérente dans l’ensemble des opérations. Les outils de monitoring et de reporting sont en place, permettant une gestion efficace des risques et une adaptation rapide aux changements réglementaires. 5. Niveau Optimisé : Le contrôle permanent est agile et orienté vers l'amélioration continue. Des technologies avancées (comme l'intelligence artificielle et l'analyse prédictive) sont utilisées pour anticiper et gérer les risques. Il existe une culture organisationnelle forte autour du contrôle interne et de la gestion des risques.

La gouvernance, le risque et la compliance sont à un point d'inflexion. Découvrez comment l'IA peut transformer la GRC en offrant une automatisation qui permet de gagner du temps et une intelligence en temps réel.

Bonjour a tous 👋 🌟 L'importance de maîtriser des cadres et des modèles reconnus est cruciale pour devenir un auditeur interne compétent et efficace. 🌟 En tant qu'auditeur interne, il est essentiel de comprendre et d'appliquer : 1️⃣ Cadre COSO pour la surveillance interne : Garantir la fiabilité des processus et le respect des réglementations. 2️⃣ Cadre COSO pour la gestion des risques (ERM) : Identifier, évaluer et gérer les risques de manière proactive. 3️⃣ Normes ISO 27000, COBIT 5, NIST, ITIL pour la sécurité et la technologie de l'information : Protéger les actifs informationnels et maintenir la continuité des activités. 4️⃣ Cadres PMBOK et PRINCE2 pour la gestion de projets : Assurer la réussite des projets avec une planification et une exécution méthodiques. 5️⃣ Modèles de maturité IA et analyse des données : Évaluer et améliorer en continu les processus d'audit et l'utilisation des analyses de données pour des décisions plus éclairées. Ces compétences ne sont pas seulement des cases à cocher, elles représentent les fondations d'un audit interne robuste et efficace, contribuant à la performance globale de l'organisation. 📚 Ne cessez jamais d'apprendre et d'améliorer vos compétences pour devenir un leader dans votre domaine ! #AuditInterne #GestionDesRisques #SécuritéDeLInformation #GestionDeProjets #ModèlesDeMaturité #DéveloppementProfessionnel

🔍COSO : Mettre en Place un Système de Contrôle Interne🔍 La mise en place d'un système de contrôle interne robuste est essentielle pour assurer la gouvernance et la gestion efficace des risques au sein des organisations. Le cadre COSO (Committee of Sponsoring Organizations) est un outil précieux pour atteindre cet objectif. 🌟 Le cadre COSO, dans sa version révisée, propose une approche intégrée en cinq composants clés pour concevoir, mettre en œuvre et maintenir un système de contrôle interne efficace : 1. Environnement de Contrôle (control environnement) : Établit une culture organisationnelle fondée sur l’éthique et le respect des normes. Il englobe la structure organisationnelle, les politiques et les valeurs. 2. Évaluation des Risques (risk assessment) : Identifie et évalue les risques potentiels qui pourraient entraver l'atteinte des objectifs de l'organisation. Cette étape est cruciale pour anticiper et gérer les incertitudes. 3. Activités de Contrôle (control activities) : Implémente des contrôles spécifiques et des procédures pour atténuer les risques identifiés. Cela inclut la séparation des fonctions, les autorisations et les vérifications régulières. 4. Information et Communication (information & communication) : Assure que les informations pertinentes sont transmises efficacement à toutes les parties prenantes. La communication fluide est essentielle pour une compréhension commune des objectifs et des contrôles. 5. Suivi (monitoring activities) : Évalue en continu l’efficacité du système de contrôle interne et ajuste les contrôles en fonction des changements dans l'environnement ou des résultats des évaluations. La mise en œuvre de ces composants permet non seulement de renforcer la fiabilité des rapports financiers et de respecter les exigences réglementaires, mais aussi de soutenir une gestion proactive des risques. #COSO #ContrôleInterne #GestionDesRisques #Audit #Gouvernance #Compliance

Agnostic Intelligence https://lnkd.in/eQjUjhhm offre la première plateforme mondiale agnostique globale pour l'analyse des cyber-risques et des risques d'entreprise, par l'automatisation et la connection des outils, des informations et des données, afin de créer une vue d'ensemble holistique et transparente des risques de tiers sur l’ensemble de la supply chain. Les défis: - Augmentation des cyberattaques et des nouvelles réglementations. - Informations fragmentées sur les risques liés aux fournisseurs et absence de base de données centrale. - Coûts élevés humains, des outils et des services professionnels - Faible retour sur investissement en cybersécurité. - Multitude d'outils informatiques pour les risques, la cybersécurité et la conformité. - Vue parcellaire de la situation réelle des fournisseurs en matière de sécurité des tiers. - Processus manuels et manque de ressources en matière de sécurité des tiers. - Nombreux questionnaires et réponses des fournisseurs souvent par email. - Les fournisseurs ne veulent pas divulguer d'informations confidentielles. La solution Agnostic Intelligence: - Plateforme Software as a Service (SaaS) avec la marque du client pour digitaliser, centraliser et automatiser la gestion des risques liés aux tiers TPRM. - Capacités d'intégration étendues à d'autres systèmes et applications (par exemple SAP Ariba, Jira, Recorded Future, outils de rating, outils GRC, etc...) - Stockage des données sur des serveurs Microsoft Azure (en fonction des besoins du client) situés dans les régions du client (p. ex., Royaume-Uni, UE, États-Unis) - Cockpit "Management friendly" fournissant une vue centralisée et holistique des risques liés à la chaîne d'approvisionnement, y compris les KPI (indicateurs clés de performance) et les KRI (indicateurs clés de risque) pertinents. - Des fonctionnalités de reporting étendues ainsi que la génération automatique de rapports de synthèse d'audit et de gestion - Inventaire central couvrant les informations pertinentes, y compris les documentations pour vos fournisseurs et leur propre chaîne d'approvisionnement (sub-supply chain) - Représentation des dépendances de la chaîne d'approvisionnement (par ex. 4P / 5P) dans votre Supply Chain, y compris les KRI pertinents (par ex. risque de concentration). - La plateforme vous permet de vous conformer aux exigences réglementaires (NIS 2, DORA, GDPR, FINMA, etc.) Pour plus de détails: info@ittrustpartner.com #ittrustpartner #agnosticintelligence #thirdpartyriskmanagement #nis2