Field Guide · AI AgentsGuide pratique · Agents IA · June 2026

How to Collect Audit Evidence for AI Agents

Screenshots, sampling, "show me the policy" — the way we collect audit evidence quietly breaks the moment the thing being audited is an agent making thousands of decisions a day. Here is what replaces it.

Comment collecter la preuve d'audit pour les agents IA

Captures d'écran, échantillonnage, « montrez-moi la politique » — notre façon de collecter la preuve casse silencieusement dès que l'audité est un agent qui prend des milliers de décisions par jour. Voici ce qui la remplace.

The old playbook breaks

For decades, audit evidence meant artefacts you could hold: a screenshot, a signed approval, a sampled transaction, a policy document. It worked because information was scarce and change was slow. None of it survives contact with an AI agent. You cannot hand-test fifty thousand autonomous decisions. The agent writes its own record. And "the model did it" is not an audit trail. The question stops being "do you have the document?" and becomes "can you show what the agent actually did, on the decision that mattered, after the fact?"

You don't collect — you confront

For an AI agent, evidence is not a folder you assemble at audit time. It is the gap between what the agent was declared to do and what it observably did. You declare the intended behaviour — the tools it may use, the approvals it needs, the boundary it stays inside — and confront that declaration against the operational trace. The evidence is the confrontation, not the collection. Anything assembled after the question is asked is a story; the proof had to exist at the moment the decision happened.

Where the evidence actually lives

Three sources, in rising order of strength:

The instinct to "screenshot the dashboard" misses the point. Capture the operational trace — what the agent did — not a picture of the policy.

Not all proof is equal

A trace the agent wrote about itself and a trace an independent system witnessed are not the same evidence — and an honest report says so. Grade every artefact by how independent it is: from the system's own self-report, up through an independent store, to an externally attested record. Two traces can describe the identical event and carry very different weight. Collapsing them into one undifferentiated "evidence" is exactly how confident-but-hollow audit records get built.

The honest gap: NOT ASSESSABLE

When the channel that would have captured it wasn't there, "not assessable" is a more defensible answer to a regulator than a confident claim you can't back.

Sometimes the data simply isn't there — the agent didn't record who authorised it, the delegation chain can't be traced, the location of each action was never logged. The correct output is not a pass and not a fail. It is NOT ASSESSABLE. Absence of observation is not evidence of absence. A tool that quietly turns a missing channel into "compliant" is inventing a verdict; one that names the gap is the only one you can trust on the things it does assert.

The trap: confidence theatre at machine scale

An AI system can generate a flawlessly formatted record of a control "operating" that never independently witnessed a thing. Digital evidence is now convincing enough to prove an alternative reality; looking at it, or calling the supplier, is no longer sufficient and appropriate. The only defence is evidence that is falsifiable — independently confirmable, or honestly flagged as the system's own word. That distinction — confirmed vs self-reported vs not assessable — is the auditor's edge a machine cannot fake.

Evidence by design

The teams that aren't scrambling are the ones who stopped collecting evidence and started emitting it. Capture at the moment the agent acts, bound to the requirement it satisfies, in a place independent enough to be believed. Then the audit trail builds itself, and audit time becomes filtering instead of hunting. For AI agents this isn't optional housekeeping — it is the only way "show me it actually ran" has an answer when the run was one of fifty thousand.

See it on a real system

A complete audit that separates what was confirmed from what is only self-reported — and marks the rest NOT ASSESSABLE.

Browse a full audit →

Related: How Do You Prove a Control Actually Ran? · Post-Hoc Logs vs Contemporaneous Evidence · Unfalsifiable Governance Is Indistinguishable From Absent Governance. Formalized in the GFI paper.

L'ancien playbook casse

Pendant des décennies, la preuve d'audit, c'étaient des artefacts qu'on pouvait tenir : une capture d'écran, une approbation signée, une transaction échantillonnée, un document de politique. Ça marchait parce que l'information était rare et le changement lent. Rien de tout cela ne survit au contact d'un agent IA. On ne teste pas à la main cinquante mille décisions autonomes. L'agent écrit son propre dossier. Et « le modèle l'a fait » n'est pas un audit trail. La question n'est plus « avez-vous le document ? » mais « pouvez-vous montrer ce que l'agent a réellement fait, sur la décision qui comptait, après coup ? »

On ne collecte pas — on confronte

Pour un agent IA, la preuve n'est pas un dossier qu'on assemble au moment de l'audit. C'est l'écart entre ce que l'agent était déclaré faire et ce qu'il a observablement fait. On déclare le comportement attendu — les outils qu'il peut utiliser, les approbations qu'il lui faut, la limite dans laquelle il reste — et on confronte cette déclaration à la trace opérationnelle. La preuve est la confrontation, pas la collecte. Tout ce qu'on assemble après que la question est posée est une histoire ; la preuve devait exister au moment où la décision a eu lieu.

Où vit réellement la preuve

Trois sources, par force croissante :

Le réflexe « capture d'écran du dashboard » rate la cible. Capture la trace opérationnelle — ce que l'agent a fait — pas une photo de la politique.

Toutes les preuves ne se valent pas

Une trace que l'agent a écrite sur lui-même et une trace qu'un système indépendant a constatée ne sont pas la même preuve — et un rapport honnête le dit. Grade chaque artefact selon son degré d'indépendance : de l'auto-récit du système, jusqu'au store indépendant, jusqu'au record attesté de l'extérieur. Deux traces peuvent décrire le même événement et peser très différemment. Les fondre en une « preuve » indifférenciée, c'est exactement ainsi qu'on bâtit des registres d'audit confiants mais creux.

Le trou honnête : NON ÉVALUABLE

Quand le canal qui l'aurait captée n'était pas là, « non évaluable » est une réponse plus défendable devant un régulateur qu'une affirmation confiante que vous ne pouvez pas étayer.

Parfois la donnée n'est tout simplement pas là — l'agent n'a pas enregistré qui l'a autorisé, la chaîne de délégation n'est pas traçable, l'emplacement de chaque action n'a jamais été journalisé. La bonne sortie n'est ni un succès ni un échec. C'est NON ÉVALUABLE. L'absence d'observation n'est pas la preuve d'une absence. Un outil qui transforme silencieusement un canal manquant en « conforme » invente un verdict ; celui qui nomme le trou est le seul auquel on peut se fier sur ce qu'il affirme.

Le piège : le théâtre de confiance à l'échelle machine

Un système IA peut générer un record parfaitement formaté d'un contrôle « qui opère » sans avoir constaté indépendamment quoi que ce soit. La preuve numérique est désormais assez convaincante pour prouver une réalité alternative ; la regarder, ou appeler le fournisseur, ne suffit plus. La seule défense est une preuve falsifiable — confirmable indépendamment, ou honnêtement marquée comme la parole du système sur lui-même. Cette distinction — confirmé vs auto-déclaré vs non évaluable — est l'avantage de l'auditeur qu'une machine ne peut pas truquer.

La preuve par conception

Les équipes qui ne courent pas après les preuves sont celles qui ont cessé de les collecter pour les émettre. Capter au moment où l'agent agit, lié à l'exigence qu'il satisfait, dans un endroit assez indépendant pour être cru. Alors l'audit trail se construit tout seul, et le moment de l'audit devient du filtrage, pas de la chasse. Pour les agents IA, ce n'est pas un confort optionnel — c'est la seule façon que « montrez-moi qu'il a réellement tourné » ait une réponse quand le run était l'un de cinquante mille.

Voyez-le sur un système réel

Un audit complet qui sépare ce qui est confirmé de ce qui n'est qu'auto-déclaré — et marque le reste NON ÉVALUABLE.

Parcourir un audit complet →

À lire aussi : Comment prouver qu'un contrôle a réellement tourné ? · Journaux a posteriori vs preuve contemporaine · Une gouvernance infalsifiable est indistinguable d'une gouvernance absente. Formalisé dans le papier GFI.

© FactNotebook · factnotebook.com · Essays