What is an AI governance maturity assessment?

An AI governance maturity assessment evaluates how systematically an organisation manages AI-related risks, policies, and accountability structures across key domains. It produces a maturity score for each domain on a 1-4 scale (Initial, Developing, Defined, Optimised) and identifies the specific gaps that need to be addressed to reach the next maturity level. The output is used to prioritise AI governance investments and demonstrate governance progress to boards, auditors, and regulators.

How does AI governance maturity relate to ISO 42001?

ISO 42001 is an international standard for AI Management Systems that defines requirements across governance, risk management, and responsible AI practice. An AI governance maturity assessment maps directly to the ISO 42001 clause structure: Pillar 1 (Policy & Strategy) maps to Clauses 4-6, Pillar 2 (Risk Management) maps to Clause 6, Pillar 3 (Security & Technology) maps to Clause 8, Pillar 4 (Compliance) maps to Clauses 9-10, and Pillar 5 (People & Culture) maps to Clause 7. Organisations targeting ISO 42001 certification typically need to reach at least Level 3 (Defined) across all pillars.

What is a good AI governance maturity score?

On a total score of 100 (5 pillars × 5 questions × 4 max points): scores below 40 indicate Initial maturity with significant governance gaps; 40-60 indicates Developing maturity with some controls in place; 60-80 indicates Defined maturity with documented and implemented controls, sufficient for most regulatory baseline requirements; above 80 indicates Optimised maturity with continuous improvement and advanced monitoring. For EU AI Act compliance with high-risk AI systems, organisations should target at least 65. For ISO 42001 certification, all pillar scores should reach Level 3 (Defined).

How often should we repeat the AI governance maturity assessment?

Conduct a full maturity assessment annually as part of your governance programme review cycle. Run a lighter-touch mid-year check-in (covering only the lowest-scoring pillars from the annual assessment) to track progress against the improvement roadmap. Trigger an out-of-cycle assessment if there is a material change in your AI use, for example, deploying a new high-risk AI system, a significant regulatory development, or an AI-related security incident that reveals a systematic governance weakness.

Profitez de 90 jours d'essai gratuit pour cartographier vos risques d'IA générative :90 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit

Gouvernance de l'IA
Évaluation de la maturité

Notez votre organisation selon 5 piliers et 25 questions. Identifiez vos lacunes de gouvernance et établissez une feuille de route d'amélioration priorisée. Aligné sur l'ISO 42001 et l'EU AI Act.

Télécharger l'évaluation Demander une démo

0 piliers

politique, risque, sécurité, conformité, personnes

0 questions

4 niveaux de maturité chacune

0 points

échelle de notation totale

Gratuit

d'utilisation et de personnalisation

L'échelle de maturité de la gouvernance de l'IA à 4 niveaux

Chacune des 25 questions d'évaluation est notée sur une échelle de 1 à 4. Utilisez ces définitions de niveaux comme repères lors de la notation. Le critère clé du niveau 3 (Défini) est : ce processus est-il documenté, approuvé, suivi de manière cohérente, et pouvez-vous produire des preuves pour le démontrer à un auditeur ?

1 point

Niveau 1, Initial

Ad hoc ou absent. Aucun processus, politique ou contrôle documenté n'existe. L'activité se produit de manière réactive ou pas du tout.

2 points

Niveau 2, En développement

Partiellement mis en œuvre. Des efforts ont été faits mais la couverture est incomplète, incohérente entre les équipes ou non formellement approuvée.

3 points

Niveau 3, Défini

Documenté, approuvé et suivi de manière cohérente dans toute l'organisation. Des preuves sont disponibles. C'est le niveau cible pour la conformité réglementaire de référence.

4 points

Niveau 4, Optimisé

Amélioré en continu avec des indicateurs, de l'automatisation et des boucles de rétroaction. Bonne pratique. Les contrôles sont proactifs plutôt que réactifs.

L'évaluation

Cliquez sur chaque pilier pour le développer. Notez chaque question de 1 à 4 et consignez les preuves qui justifient votre note.

Ce pilier évalue la maturité de votre cadre de politique IA, de votre stratégie de gouvernance et de l'engagement de la direction. Notez chaque question de 1 à 4 en utilisant les définitions de niveaux de maturité ci-dessus. Score maximal du pilier : 20 points.

1.1 Politique d'usage acceptable de l'IA

Niveau 1Aucune politique IA n'existe. Les collaborateurs utilisent les outils d'IA sans cadre formel.

Niveau 2Une politique IA informelle ou un ensemble de lignes directrices existe mais n'a pas été formellement approuvé ni diffusé à l'ensemble du personnel.

Niveau 3Une politique formelle d'usage acceptable de l'IA est approuvée, diffusée à l'ensemble du personnel et révisée chaque année. Les collaborateurs en signent un accusé de réception.

Niveau 4La politique est mise à jour dynamiquement en réponse aux évolutions réglementaires, aux nouveaux risques liés à l'IA et aux retours des collaborateurs. La conformité est surveillée automatiquement.

Score : _____ / 4

1.2 Stratégie de gouvernance de l'IA

Niveau 1Aucune stratégie de gouvernance de l'IA définie. La gouvernance se fait de manière réactive.

Niveau 2Une initiative de gouvernance de l'IA existe mais manque de parrainage de la direction, d'objectifs définis ou d'une feuille de route.

Niveau 3Une stratégie de gouvernance de l'IA documentée, avec des objectifs définis, un parrainage de la direction et une feuille de route sur 12 mois, est en place.

Niveau 4La stratégie de gouvernance de l'IA est intégrée à la stratégie de risque de l'entreprise, révisée chaque trimestre et liée à des résultats métier mesurables.

Score : _____ / 4

1.3 Comité de gouvernance de l'IA

Niveau 1Aucun comité de gouvernance de l'IA ni organe équivalent n'existe.

Niveau 2Un groupe informel discute du risque lié à l'IA mais sans charte formelle, autorité ni cadence régulière.

Niveau 3Un comité de gouvernance de l'IA formellement constitué, avec une composition définie, un pouvoir décisionnel et des réunions mensuelles, est opérationnel.

Niveau 4Le comité rend compte au conseil d'administration, dispose de KPI définis et ses décisions sont systématiquement suivies jusqu'à leur mise en œuvre.

Score : _____ / 4

1.4 Inventaire des outils d'IA

Niveau 1Aucun inventaire des outils d'IA utilisés. Le Shadow AI n'est pas détecté.

Niveau 2Un inventaire partiel existe pour les outils approuvés par l'informatique, mais le Shadow AI n'est pas surveillé.

Niveau 3Un inventaire complet et maintenu des outils d'IA couvre tous les outils approuvés. La détection du Shadow AI est en place.

Niveau 4L'inventaire des outils d'IA est en temps réel, automatisé, inclut des données d'usage et alimente le registre des risques et les mises à jour de la politique.

Score : _____ / 4

1.5 Normes d'achat et de fournisseurs IA

Niveau 1Aucune exigence propre à l'IA dans les processus d'achat ou de gestion des fournisseurs.

Niveau 2Quelques questions liées à l'IA apparaissent dans la due diligence des fournisseurs mais ne sont pas standardisées.

Niveau 3Un questionnaire de sécurité fournisseur IA standardisé est requis pour tout achat d'outil d'IA. Les politiques IA des fournisseurs sont évaluées.

Niveau 4Le risque lié aux fournisseurs d'IA est surveillé en continu. Les contrats fournisseurs incluent des SLA de gouvernance de l'IA, des droits d'audit et des clauses de traitement des données.

Score : _____ / 4

Score total du pilier 1 : _____ / 20 | ISO 42001 clauses 4–6 | 16–20 = Optimisé, 11–15 = Défini, 6–10 = En développement, 1–5 = Initial

Télécharger l'évaluation complète

Comment réaliser l'évaluation de la maturité

Suivez ces cinq étapes pour obtenir un score de maturité crédible et exploitable ainsi qu'une feuille de route d'amélioration de la gouvernance que vous pourrez présenter à votre équipe de direction.

Constituez votre équipe d'évaluation

Identifiez un responsable pour chaque pilier dans la fonction concernée : sécurité informatique (piliers 1 et 2), ingénierie/CTO (pilier 3), juridique/conformité (pilier 4), RH/personnes (pilier 5). Incluez un facilitateur neutre pour animer la session de groupe.

Notez chaque pilier indépendamment avant la session de groupe

Demandez à chaque responsable de pilier de noter son domaine en privé pour éviter l'ancrage. Il doit documenter les preuves de chaque note, comptes rendus de réunion, politiques, captures d'écran d'outils, et pas seulement des affirmations.

Organisez une session de groupe animée pour convenir de notes consensuelles

Tenez une session de 2 heures pour réconcilier les notes individuelles. Concentrez le débat sur les zones limites (en particulier tout ce qui est noté au niveau 2). L'objectif est une base de référence honnête et étayée par des preuves, pas une base optimiste.

Identifiez vos 3 principales lacunes et établissez une feuille de route à 90 jours

Les questions les moins bien notées représentent votre risque de gouvernance le plus élevé. Associez chaque lacune à une action de remédiation précise, à un responsable et à une échéance. Les gains rapides (passage du niveau 1 au niveau 2) doivent figurer en bonne place dans le plan à 90 jours.

Présentez au comité de gouvernance de l'IA et répétez chaque année

Partagez le profil de maturité et la feuille de route avec votre comité de gouvernance de l'IA et votre sponsor exécutif pour l'approbation des ressources. Planifiez la prochaine évaluation à 12 mois et un point d'étape à mi-année sur les 3 principales lacunes.

FAQ

Questions fréquentes

Une évaluation de la maturité de la gouvernance de l'IA évalue la manière dont une organisation gère systématiquement les risques liés à l'IA, les politiques et les structures de responsabilité dans les domaines clés. Elle produit un score de maturité pour chaque domaine sur une échelle de 1 à 4 (Initial, En développement, Défini, Optimisé) et identifie les lacunes précises à combler pour atteindre le niveau de maturité suivant. Le résultat sert à prioriser les investissements en gouvernance de l'IA et à démontrer les progrès de la gouvernance aux conseils d'administration, aux auditeurs et aux régulateurs.

Pour commencer

Aona accélère la maturité de votre gouvernance

Aona est la plateforme qui transforme les lacunes de votre évaluation de maturité en contrôles mis en œuvre. Flux d'approbation des outils, registres des risques, DLP, surveillance de l'IA et gestion des politiques, tout ce dont vous avez besoin pour passer du niveau 1 au niveau 3 et au-delà.

Demander une démo

Ressources associées

Plateforme Aona AI Cadre de gouvernance de l'IA Tous les modèles

Gouvernance de l'IAÉvaluation de la maturité

Aona accélère la maturité de votre gouvernance

Gouvernance de l'IA
Évaluation de la maturité