The questionnaire changed this year
Enterprise vendor-risk assessments now carry a dedicated AI module. CAIQ, SIG, and most internal templates ask about model provenance, human oversight, audit trails, kill switches, subprocessor transparency, and alignment with the EU AI Act, ISO 42001 or NIST AI RMF. If you sell an AI system into enterprises, you have met these questions — usually late in the deal, from a risk committee you never talk to directly.
Why assertion-answers fail
Most vendors answer with policy statements: "human oversight is required," "all actions are logged," "we follow the EU AI Act." A risk committee discounts these on sight — not because it distrusts you, but because a vendor's statement about its own system is the weakest class of evidence there is. It is self-attested. The committee's job is precisely to ask: who, outside your system, can confirm any of this?
The question behind every question in the AI module is: can anyone independently verify what you just claimed?
What an evidence-answer looks like
An evidence-answer reconstructs, from your system's actual execution records plus independent channels, what a reviewer can establish:
- Observations, not summaries — what the traces actually show, each record graded by how independent its source is (A0–A5).
- Declared vs. observed — where your documentation says one thing and the execution shows another, the contradiction is reported with both sides and their provenance.
- An honest NOT ASSESSABLE — where no observation channel exists, the answer says so, and names the exact event your system would need to emit to make the question answerable. Committees trust a file that admits its gaps far more than one that claims completeness.
- Custody you can check — hashes established at ingestion, anchored at an external RFC3161 time-stamp authority, with the manifest published. Anyone can verify the file hasn't changed.
- No self-conferred verdict — the file projects the evidence under a named, versioned policy and leaves sufficiency to the committee. That restraint is what makes it usable as third-party input.
Why the gaps are your strongest page
Counter-intuitive but true in practice: the NOT ASSESSABLE map is what converts a skeptical committee. Every vendor claims everything; almost none can show what they cannot yet prove and what they're instrumenting next. That map reads as an engineering roadmap, not a confession — and it preempts the committee's next three questions.
What this looks like on a real system
We publish worked examples on real, public AI-agent executions — including one where the agent's declared fix is contradicted by the repository's own published tests. Same grammar, same honesty, applied to a system anyone can check: the Governability Index.
Facing the questionnaire right now?
A governance profile of your system, from your traces — fixed price, delivered in 2 working days. Your data stays in your perimeter; your prospect's committee gets evidence instead of assurances.
How it works →
Related: AI Governance Is a Separation of Assertions · How to Collect Audit Evidence for AI Agents · How Do You Prove a Control Actually Ran?
Le questionnaire a changé cette année
Les évaluations de risque fournisseur des grands comptes comportent désormais un module IA dédié. CAIQ, SIG et la plupart des modèles internes interrogent la provenance des modèles, la supervision humaine, les pistes d'audit, les kill switches, la transparence des sous-traitants, et l'alignement AI Act / ISO 42001 / NIST AI RMF. Si vous vendez un système IA à des grands comptes, vous avez déjà rencontré ces questions — en général tard dans le deal, posées par un comité risque auquel vous ne parlez jamais directement.
Pourquoi les réponses-assertions échouent
La plupart des vendeurs répondent par des déclarations de politique : « la supervision humaine est obligatoire », « toutes les actions sont journalisées », « nous suivons l'AI Act ». Un comité risque les décote à vue — non par défiance, mais parce que la déclaration d'un vendeur sur son propre système est la classe de preuve la plus faible qui existe. Elle est auto-attestée. Le travail du comité est précisément de demander : qui, en dehors de votre système, peut confirmer quoi que ce soit ?
La question derrière chaque question du module IA est : quelqu'un peut-il vérifier indépendamment ce que vous venez d'affirmer ?
À quoi ressemble une réponse-preuve
Une réponse-preuve reconstruit, depuis les enregistrements d'exécution réels de votre système plus des canaux indépendants, ce qu'un reviewer peut établir :
- Des observations, pas des résumés — ce que les traces montrent réellement, chaque enregistrement gradé selon l'indépendance de sa source (A0–A5).
- Déclaré vs observé — là où votre documentation dit une chose et l'exécution en montre une autre, la contradiction est rapportée avec les deux versions et leur provenance.
- Un NON ÉVALUABLE honnête — là où aucun canal d'observation n'existe, la réponse le dit, et nomme l'événement exact que votre système devrait émettre pour rendre la question répondable. Un comité fait bien plus confiance à un dossier qui admet ses lacunes qu'à un dossier qui prétend à la complétude.
- Une custody vérifiable — hashes établis à l'ingestion, ancrés auprès d'une autorité d'horodatage externe (RFC3161), manifeste publié. Quiconque peut vérifier que le dossier n'a pas changé.
- Aucun verdict auto-conféré — le dossier projette la preuve sous une politique nommée et versionnée, et laisse la suffisance au comité. Cette retenue est ce qui le rend utilisable comme apport tiers.
Pourquoi vos lacunes sont votre meilleure page
Contre-intuitif mais vrai en pratique : la carte NON ÉVALUABLE est ce qui convainc un comité sceptique. Tous les vendeurs affirment tout ; presque aucun ne peut montrer ce qu'il ne peut pas encore prouver et ce qu'il instrumente ensuite. Cette carte se lit comme une feuille de route d'ingénierie, pas comme un aveu — et elle préempte les trois questions suivantes du comité.
Sur un système réel
Nous publions des exemples travaillés sur des exécutions réelles et publiques d'agents IA — dont une où le correctif déclaré par l'agent est contredit par les tests publiés du dépôt lui-même. Même grammaire, même honnêteté, sur un système que chacun peut vérifier : l'Index de gouvernabilité.
Le questionnaire est devant vous ?
Un profil de gouvernance de votre système, depuis vos traces — prix fixe, livré en 2 jours ouvrés. Vos données restent dans votre périmètre ; le comité de votre prospect reçoit de la preuve au lieu d'assurances.
Comment ça marche →
À lire aussi : La gouvernance IA est une séparation des assertions · Comment collecter la preuve d'audit pour les agents IA · Comment prouver qu'un contrôle a réellement tourné ?