Operational Evidence

Did your AI controls actually operate? Prove it.

Operational Evidence checks what you declared against what was observed — from your technical and operational artifacts, not your source code.

Operational Evidence confronte ce que vous déclarez à ce qui a été observé — depuis vos artefacts techniques et opérationnels, pas votre code source.

CONFIRMED · CONTRADICTED · NOT ASSESSABLE

See the operational evidence →Voir la preuve opérationnelle → Book a walkthroughRéserver une démo

No source code required

Aucun code source requis

Your code is your crown jewels. Operational Evidence never touches it. It reads what your running system and surrounding operational tools already emit — and it runs deterministically (no LLM in the evidence path), so the same artifacts always produce the same sealed dossier, with the same hash. Re-verifiable by anyone, runs fully air-gapped.

Votre code, ce sont vos joyaux. Operational Evidence n'y touche jamais. Il lit ce que votre système en fonctionnement et vos outils opérationnels émettent déjà — et il tourne de façon déterministe (aucun LLM dans le chemin de preuve), donc les mêmes artefacts produisent toujours le même dossier scellé, avec le même hash. Re-vérifiable par n'importe qui, fonctionne entièrement hors-ligne (air-gap).

Evidence, not authority

La preuve, pas l'autorité

FactNotebook does not issue a verdict in your place. You hold the authority — the auditor, the consultant, the governance body. We produce the evidence substrate beneath your assessment: the observations, the provenance, the contradictions and the limits of observability that make your conclusion demonstrated rather than declared. When a client asks "how do you justify this?", you have something better than a methodology — you have the record. Evidence vs authority validation →

FactNotebook n'émet pas un verdict à votre place. C'est vous qui portez l'autorité — l'auditeur, le consultant, l'organisme de gouvernance. Nous produisons le substrat de preuve sous votre évaluation : les observations, la provenance, les contradictions et les limites d'observabilité qui rendent votre conclusion démontrée plutôt que déclarée. Quand un client demande « comment le justifiez-vous ? », vous avez mieux qu'une méthodologie — vous avez la trace. Validation par la preuve vs par l'autorité →

Three questions it answers

Trois questions auxquelles il répond

Did the control operate?

Le contrôle a-t-il opéré ?

Effectiveness, not existence. Observed operation on real sessions — not a claim the system wrote about itself.

L'efficacité, pas l'existence. L'opération observée sur de vraies sessions — pas une affirmation que le système a écrite sur lui-même.

Who owned the decision?

Qui détenait la décision ?

The Accountability Gap: named decision-maker against observed runtime outcome. A regulator does not prosecute a file.

L'Accountability Gap : décideur nommé confronté au résultat runtime observé. Un régulateur ne poursuit pas un fichier.

What can't be assessed — and why

Ce qui ne peut être évalué — et pourquoi

NOT ASSESSABLE marks where the observation channel was missing. Absence of evidence, not evidence of absence — and a precise map of what to instrument next.

NOT ASSESSABLE marque où le canal d'observation manquait. Absence de preuve, pas preuve d'absence — et une carte précise de ce qu'il reste à instrumenter.

How it works

Comment ça marche

  1. 1. Connect your evidence. Technical and operational artifacts — decision traces, ITSM, CI/CD, observability — via connectors or file config. No repo access. Connectez votre preuve. Artefacts techniques et opérationnels — traces de décision, ITSM, CI/CD, observabilité — via connecteurs ou config de fichiers. Aucun accès au repo.
  2. 2. Declared vs observed. The engine derives observable attributes and compares them against your declared governance — by explicit, auditable rules. Déclaré vs observé. Le moteur dérive des attributs observables et les confronte à votre gouvernance déclarée — par des règles explicites et auditables.
  3. 3. A sealed dossier. CONFIRMED / CONTRADICTED / NOT ASSESSABLE — each citable, traceable, and re-verifiable. Un dossier scellé. CONFIRMED / CONTRADICTED / NOT ASSESSABLE — chacun citable, traçable et re-vérifiable.

What's in the operational dossier

Ce que contient le dossier opérationnel

Six sealed reports. Access follows the policy in place — request it below.

Six rapports scellés. L'accès suit la politique en place — demandez-le ci-dessous.

🔒
Behavioral Audit
Session-level evidence of how governance operated
Preuve par session du fonctionnement de la gouvernance
🔒
Decision Accountability Record
Named decision-maker ↔ observed outcome
Décideur nommé ↔ résultat observé
🔒
Risk Control Matrix
Business risk exposure vs controls observed
Exposition au risque métier vs contrôles observés
🔒
Governance Status Board
Domain-level health from observed reality
Santé par domaine depuis la réalité observée
🔒
Runtime Trend
Governance drift over time
Dérive de gouvernance dans le temps
🔒
Runtime Sessions
The session × control matrix
La matrice session × contrôle
Request access to the dossier →Demander l'accès au dossier →

Bring your artifacts. Keep your code.

Apportez vos artefacts. Gardez votre code.

Self-hosted container — your evidence never leaves your perimeter.

Container self-hosted — votre preuve ne quitte jamais votre périmètre.

Book a walkthrough →Réserver une démo →

Need the code-level audit too — declared vs implemented vs observed? See the Full Audit.

Besoin aussi de l'audit au niveau du code — déclaré vs implémenté vs observé ? Voir l'audit complet.

The three ideas behind it

Les trois idées derrière

Observability Principle
You can only assess what was observable when the event happened. Missing channel → NOT ASSESSABLE, not a guess.
On ne peut évaluer que ce qui était observable au moment de l'événement. Canal manquant → NOT ASSESSABLE, pas une supposition.
Decision Baseline
The governance context sealed at the moment of a decision — so you can ask whether another choice was reasonable then, not in hindsight.
Le contexte de gouvernance scellé à l'instant de la décision — pour demander si un autre choix était raisonnable à l'époque, pas a posteriori.
Evidence ≠ Authority
Preuve ≠ Autorité
You hold the authority. We supply the evidence that makes it defensible — not a competing verdict.
Vous portez l'autorité. Nous fournissons la preuve qui la rend défendable — pas un verdict concurrent.

The thinking behind it: La pensée derrière : How do you prove a control ran? · Glossary · GFI paper

© FactNotebook · factnotebook.com