Implementacija upravljanja AI: Kako primijeniti ISO 42001 u praksi

Zašto bi kompanije trebale implementirati upravljanje AI?

Kompanije bi trebale implementirati odgovorno upravljanje umjetnom inteligencijom kako bi upravljale korištenjem AI na strukturiran način, ublažile rizike, izgradile povjerenje i efikasno ispunile regulatorne i strateške zahtjeve usklađenosti.

Ono što se na prvi pogled čini kao ambiciozna ideja brzo se ispostavi kao logična posljedica trenda koji je odavno postao stvarnost: umjetna inteligencija je pronašla svoj put u poslovanje – često brže, šire i dublje nego što se očekivalo. Istovremeno, regulatorni zahtjevi se povećavaju – na primjer, kroz Zakon EU o AI – i kupci sve više očekuju čvrste dokaze o odgovornoj upotrebi umjetne inteligencije.

Izgledi u vezi s implementacijom i certifikacijom ISO 42001 su se stoga fundamentalno promijenili. Pitanje više nije da li kompanije trebaju implementirati upravljanje umjetnom inteligencijom, već koliko sistematično i provjerljivo to čine – i kakve to koristi donosi.

Upravo tu dolazi do izražaja ISO 42001, kao Sistem upravljanja umjetnom inteligencijom (AIMS). Kao prvi svjetski standard za sisteme upravljanja AI, on definiše okvir za sistematsko upravljanje korištenjem umjetne inteligencije, kontrolu rizika i jasno utvrđivanje odgovornosti. Stoga je to daleko više od samo još jednog standarda – to je alat za operacionalizaciju povjerenja.

Međutim, prije nego što organizacije krenu ovim putem, potrebna im je jasnoća u vezi sa svojim ciljem. ISO 42001 certifikacija nije sama po sebi cilj i ne treba je posmatrati samo kao projekat usklađenosti. Cilj je, naprotiv, izgraditi povjerenje među kupcima, partnerima i regulatornim tijelima; posebno se pozabaviti rizicima kao što su pristranost, diskriminacija, zloupotreba podataka ili pogrešne odluke koje donose modeli; i uspostaviti robustan okvir upravljanja za korištenje umjetne inteligencije.

Istovremeno, ovo predstavlja stratešku prednost: u okruženju u kojem još uvijek ima malo pionira, rana certifikacija može poslužiti kao jasna tačka diferencijacije.

Koji su prvi koraci potrebni za sistem upravljanja AI?

Prvi korak u implementaciji sistema upravljanja umjetnom inteligencijom je provođenje sveobuhvatne procjene stvarne upotrebe AI i jasno definisanje šta predstavlja umjetnu inteligenciju u kontekstu ISO 42001.

Pravi put do upravljanja umjetnom inteligencijom, dakle, ne počinje politikama ili dokumentima, već iskrenom procjenom trenutne situacije. I upravo tu se mnoge kompanije suočavaju sa svojim prvim iznenađenjem: znaju mnogo manje o vlastitoj upotrebi umjetne inteligencije nego što misle. AI se ne nalazi samo u očiglednim primjenama poput chatbotova ili modela mašinskog učenja, već i u brojnim alatima, automatizacijama, softverskim aplikacijama i digitalnim rješenjima koja se koriste u svakodnevnom poslovanju. Činjenje ove „skrivene umjetne inteligencije“ vidljivom je jedan od najvažnijih – a istovremeno i najizazovnijih – koraka na putu za ISO 42001 certifikaciju.
 

Kako možemo efikasno procijeniti sisteme AI?

Usko povezano s ovim je pitanje šta se zapravo kvalifikuje kao umjetna inteligencija prema standardu. Ne spada svaki sistem automatski pod zahtjeve standarda sistema upravljanja. Ključni faktori uključuju da li sistem samostalno donosi odluke ili ih samo podržava, da li se modeli obučavaju ili se samo koriste i kakav uticaj aplikacija ima na ljude, procese, podatke ili odluke. Ova razlika je ključna, jer definiše obim budućeg sistema upravljanja AI.

Koje su uloge i odgovornosti potrebne za upravljanje AI?

Upravljanje umjetnom inteligencijom zahtijeva jasno definisane uloge tokom cijelog životnog ciklusa AI, jer različite odgovornosti podrazumijevaju različite obaveze, rizike i zahtjeve kontrole.

Često podcijenjen, ali ključan aspekt implementacije i certificiranja ISO 42001 je jasna definicija uloga pri radu s umjetnom inteligencijom. ISO standard zahtijeva nijansiran pristup tokom cijelog životnog ciklusa AI sistema. Tipično, mogu se razlikovati tri uloge: programer AI, proizvođač AI i korisnik AI.

Programer je odgovoran za razvoj modela i sistema - to jest, za obuku, pripremu podataka, arhitekturu modela i tehničku implementaciju. Proizvođač, s druge strane, implementira AI sistem u produkcijskom okruženju, integriše ga u poslovne procese i odgovoran je za njegov rad i usklađenost s definisanim zahtjevima. Konačno, korisnik primjenjuje umjetnu inteligenciju u svakodnevnim operacijama, donosi odgovorne odluke na osnovu rezultata ili automatski izvršava procese.

Ova razlika nije relevantna samo iz organizacijske perspektive, već ima i direktne implikacije na procjenu rizika, odgovornosti i mehanizme kontrole. To je zato što različite uloge podrazumijevaju različite obaveze, rizike i mogućnosti utjecaja na ponašanje umjetne inteligencije.

Kako se upravljanje AI može uspostaviti unutar kompanije?

Razvoj upravljanja umjetnom inteligencijom oslanja se na poznate okvire sistema upravljanja, ali zbog specifičnih zahtjeva AI, potrebno je mnogo više od jednostavnog dodatka.

Ovaj jednostavan pregled služi kao početna tačka za razvoj sistema upravljanja umjetnom inteligencijom. Formalno, zasnovan je na utvrđenim ISO okvirima, kao što su oni koji se nalaze u ISO 9001 ili ISO 27001:

• Kontekst organizacije
• Upravljanje rizicima
• Jasne uloge i odgovornosti
• Dokumentirane informacije
• Interni auditi
• Kontinuirano poboljšanje 

Ova poznata struktura olakšava početak, barem na prvi pogled. Međutim, što se tiče sadržaja, ISO 42001 uvodi novu dimenziju koja daleko nadilazi tradicionalne sisteme upravljanja.

Ključna razlika leži u samoj prirodi umjetne inteligencije. Dok drugi standardi često jasno definišu šta je „proizvod“ ili „usluga", umjetna inteligencija prisiljava kompanije da preispitaju fundamentalna pitanja.

Fokus je na:

• etičkim procjenama prijava
• algoritamskoj pravednosti i transparentnosti
• porijeklu i kvalitetu podataka za obuku
• sljedivosti odluka

Pitanje odgovornosti je posebno izazovno: Ko je u konačnici odgovoran za odluke donesene pomoću ili uz pomoć umjetne inteligencije? Ovi aspekti se ne mogu jednostavno integrisati u postojeće sisteme – oni zahtijevaju promjenu u razmišljanju.

Stoga mnoge organizacije polaze od pretpostavke da se ISO 42001 može implementirati kao proširenje postojećih sistema upravljanja. Međutim, u praksi brzo postaje očigledno da to funkcioniše samo u ograničenoj mjeri. Dok postojeće strukture mogu poslužiti kao osnova, zahtjevi specifični za umjetnu inteligenciju zahtijevaju mnogo dublje ispitivanje vlastitih procesa, tehnologija i mehanizama donošenja odluka organizacije. ISO 42001 stoga nije dodatak, već promjena perspektive.

Kakva je povezanost ISO 42001 i Zakona EU o AI?

Zakon EU o umjetnoj inteligenciji (AI) utvrđuje regulatorne zahtjeve za umjetnu inteligenciju, a ISO 42001 pokazuje kako organizacije mogu sistematski integrisati ove zahtjeve u svoje sisteme upravljanja.

Ključni aspekt koji postaje sve važniji u vezi sa ISO 42001 je klasifikacija AI sistema prema njihovom potencijalu rizika, kako je predviđeno u uredbi. U suštini se razlikuju četiri klase rizika:

• Zabranjeni AI sistemu
• Visokorizični sistemu
• AI sistemi sa ograničenim rizikom
• Sistemi sa minimalnim rizikom

Ova klasifikacija ima direktan uticaj na zahtjeve za razvoj, implementaciju i praćenje.

Dok su sistemi sa minimalnim rizikom podložni malom broju regulatornih zahtjeva, visokorizične aplikacije – poput onih koje uključuju kritičnu infrastrukturu, kadrovske odluke ili medicinske aplikacije – podliježu strogim zahtjevima u vezi sa dokumentacijom, transparentnošću, ljudskim nadzorom, sigurnošću i upravljanjem rizikom umjetne inteligencije.

Za kompanije, ovo znači da su ISO 42001 i Uredba o umjetnoj inteligenciji međusobno povezani. Dok Uredba specificira šta je zakonski propisano, ISO standard pruža strukturni okvir za sistematsko prevođenje tih zahtjeva u konkretne mjere. Posebno u slučaju visokorizičnih sistema, postaje jasno koliko je važan funkcionalan sistem upravljanja umjetnom inteligencijom za osiguranje usklađenosti ne samo na ad hoc osnovi, već na održiv način.

Kako se ISO 42001 može primijeniti u praksi?

Uspješna implementacija ISO 42001 standarda zavisi od organizacija koje upravljaju implementacijom umjetne inteligencije, upravljanjem rizicima umjetne inteligencije i odgovornostima na iterativan, međufunkcionalan i transparentan način.

Bitna komponenta prethodno opisane promjene perspektive je svjesno ispitivanje gdje i zašto se koristi umjetna inteligencija. Kompanije danas koriste AI u širokom spektru područja - od automatizacije internih procesa i podrške odlučivanju na osnovu podataka do interakcije s kupcima i prepoznavanja obrazaca u velikim skupovima podataka.  

Međutim, pravi izazov ne leži u identifikovanju ovih područja primjene, već u odmjeravanju njihovih koristi i rizika. Upravo tu dolazi do izražaja ISO 42001: on prisiljava organizacije da aktivno pronađu ovu ravnotežu umjesto da je prepuste slučaju.

Put do certifikacije rijetko je jednostavan. Naprotiv, obilježen je iteracijama, novim uvidima i, ponekad, neizvjesnostima. Tipični izazovi uključuju nejasne odgovornosti, nedostatak transparentnosti u vezi s postojećim AI sistemima, složenost procjene rizika i neophodnu kulturnu promjenu unutar organizacije.

Jedna stvar postaje posebno jasna kako se proces odvija: upravljanje AI i odgovorna upotreba AI ne mogu se delegirati. To se tiče menadžmenta koliko i IT-a i poslovnih jedinica, te zahtijeva zajedničko razumijevanje i blisku saradnju.

Koji su razlozi za implementaciju upravljanja AI?

Izazovi koji se javljaju pri implementaciji sistema upravljanja umjetnom inteligencijom ne smiju se zanemariti – ipak postoji mnogo dobrih razloga za usvajanje upravljanja AI i za strukturirano sticanje certifikata ISO 42001. Kompanije koje preduzmu ovaj korak ne samo da se pozicioniraju kao pioniri, već i uspostavljaju snažnu pravnu osnovu za rješavanje budućih regulatornih zahtjeva i osiguranje održive usklađenosti.

One grade povjerenje sa svojim kupcima i partnerima, a istovremeno stiču mnogo dublje razumijevanje vlastite upotrebe umjetne inteligencije. U konačnici, to je i pitanje kredibiliteta: svako ko drugima objašnjava kako odgovorno koristiti umjetnu inteligenciju trebao bi biti u stanju i sam demonstrirati tu posvećenost.

Zaključak: Da li je upravljanje umjetnom inteligencijom više od samog certifikata?

U konačnici, ISO 42001 certifikacija je mnogo više od samo još jedne stavke na vašoj listi obaveza. To je alat za sazrijevanje našeg pristupa jednoj od ključnih tehnologija našeg vremena. U okruženju u kojem još uvijek postoji malo empirijskih podataka, malo najboljih praksi i samo ograničene smjernice, početak neminovno uključuje određenu dozu rizika. Ali upravo tu leži prilika. Jer oni koji danas počinju aktivno oblikuju standarde sutrašnjice.

Ključno pitanje, dakle, nije da li je put lak. Nije. Umjesto toga, ključno pitanje je da li smo, u kontekstu digitalizacije i upravljanja tehnologijom, spremni da se suočimo s ovim trenutnim izazovima i da podignemo našu odgovornu upotrebu umjetne inteligencije na novi nivo.

DQS – jer nisu svi auditi jednaki

Kao što svaka kompanija i organizacija koristi umjetnu inteligenciju na svoj način, ciljevi koje njome teže uveliko se razlikuju. Kako bi se osigurala sigurna upotreba AI sistema, od kraja 2023. godine na snazi ​​je novi međunarodni standard sistema upravljanja posebno za AI - ISO/IEC 42001. DQS je jedno od prvih certifikacijskih tijela u svijetu koje nudi akreditovanu ISO 42001 certifikaciju. 

Iskoristite stručnost naših stručnjaka. Saznajte više o najvažnijim zahtjevima standarda i šta oni znače za vašu organizaciju. Već 40 godina posvećeni smo nepristrasnim auditima i certifikacijama. Naša posvećenost uvijek počinje tamo gdje završavaju kontrolne liste za audit. Vjerujte nam na riječ. Radujemo se Vašem javljanju.

Povjerenje i ekspertiza

Naše dokumente i brošure pišu isključivo naši stručnjaci za standarde ili iskusni auditori. Ako imate bilo kakvih pitanja za našeg autora u vezi sa sadržajem naših dokumenata ili naših usluga, slobodno nam se javite.

Napomena: Radi čitljivosti, koristimo generički muški oblik. Međutim, ova direktiva uglavnom uključuje ljude svih rodnih identiteta, u mjeri u kojoj je to potrebno za izjavu.