Wdrażanie zarządzania sztuczną inteligencją: Jak wdrożyć normę ISO 42001 w praktyce

Dlaczego firmy powinny wdrożyć zarządzanie sztuczną inteligencją?

Firmy powinny wdrożyć odpowiedzialne zarządzanie sztuczną inteligencją, aby zarządzać wykorzystaniem sztucznej inteligencji w ustrukturyzowany sposób, ograniczać ryzyko, budować zaufanie i skutecznie spełniać zarówno wymogi regulacyjne, jak i strategiczne.

To, co na pierwszy rzut oka wydaje się ambitnym pomysłem, szybko okazuje się logiczną konsekwencją trendu, który już dawno stał się rzeczywistością: Sztuczna inteligencja wkroczyła do firm - często szybciej, szerzej i głębiej niż przewidywano. Jednocześnie rosną wymagania regulacyjne - na przykład poprzez unijną ustawę o sztucznej inteligencji - a klienci coraz częściej oczekują solidnych dowodów odpowiedzialnego wykorzystania sztucznej inteligencji.

Perspektywy dotyczące wdrażania i certyfikacji ISO 42001 uległy zatem zasadniczej zmianie. Nie chodzi już o to, czy firmy powinny wdrażać zarządzanie sztuczną inteligencją, ale raczej o to, jak systematycznie i weryfikowalnie to robią - i jakie to przynosi korzyści.

Właśnie w tym miejscu do gry wkracza ISO 42001, jako system zarządzania sztuczną inteligencją (AIMS). Jako pierwsza na świecie norma dotycząca systemów zarządzania sztuczną inteligencją, definiuje ona ramy systematycznego zarządzania wykorzystaniem sztucznej inteligencji, kontrolowania ryzyka i jasnego ustalania obowiązków. Jest to zatem znacznie więcej niż tylko kolejny standard - jest to narzędzie do operacjonalizacji zaufania.

Zanim jednak organizacje wkroczą na tę ścieżkę, muszą mieć jasność co do swojego celu. Certyfikacja ISO 42001 nie jest celem samym w sobie i nie powinna być postrzegana jedynie jako projekt zgodności. Celem jest raczej budowanie zaufania wśród klientów, partnerów i organów regulacyjnych; konkretne zajęcie się zagrożeniami, takimi jak stronniczość, dyskryminacja, niewłaściwe wykorzystanie danych lub błędne decyzje podejmowane przez modele; oraz ustanowienie solidnych ram zarządzania dla wykorzystania sztucznej inteligencji.

Jednocześnie stanowi to strategiczną przewagę: w środowisku, w którym wciąż jest niewielu pionierów, wczesna certyfikacja może służyć jako wyraźny punkt różnicujący.

Jakie są pierwsze kroki potrzebne do wdrożenia systemu zarządzania sztuczną inteligencją?

Pierwszym krokiem do wdrożenia systemu zarządzania sztuczną inteligencją jest przeprowadzenie kompleksowej oceny rzeczywistego wykorzystania sztucznej inteligencji i jasne zdefiniowanie, co stanowi sztuczną inteligencję w kontekście normy ISO 42001.

Prawdziwa droga do zarządzania sztuczną inteligencją nie zaczyna się zatem od polityk czy dokumentów, ale od uczciwej oceny obecnej sytuacji. I właśnie w tym miejscu wiele firm napotyka pierwszą niespodziankę: wiedzą znacznie mniej o własnym wykorzystaniu sztucznej inteligencji, niż zdają sobie sprawę. Sztuczna inteligencja znajduje się nie tylko w oczywistych zastosowaniach, takich jak chatboty czy modele uczenia maszynowego, ale także w licznych narzędziach, automatyzacjach, aplikacjach i rozwiązaniach cyfrowych wykorzystywanych w codziennych operacjach. Uwidocznienie tej "ukrytej sztucznej inteligencji" jest jednym z najważniejszych - i jednocześnie najtrudniejszych - kroków na drodze do uzyskania certyfikatu ISO 42001.

Jak możemy skutecznie oceniać systemy AI?

Ściśle związana z tym jest kwestia tego, co faktycznie kwalifikuje się jako sztuczna inteligencja zgodnie z normą. Nie każdy system automatycznie podlega wymaganiom normy systemu zarządzania. Kluczowe czynniki obejmują to, czy system podejmuje decyzje samodzielnie, czy tylko je wspiera, czy modele są szkolone, czy tylko wykorzystywane, oraz jaki wpływ ma aplikacja na ludzi, procesy, dane lub decyzje. To rozróżnienie jest kluczowe, ponieważ definiuje zakres przyszłego systemu zarządzania sztuczną inteligencją.

Jakie role i obowiązki są wymagane do zarządzania sztuczną inteligencją?

Zarządzanie sztuczną inteligencją wymaga jasno określonych ról w całym cyklu życia sztucznej inteligencji, ponieważ różne obowiązki pociągają za sobą różne obowiązki, ryzyko i wymagania dotyczące kontroli.

Często niedocenianym, ale kluczowym aspektem wdrażania i certyfikacji ISO 42001 jest jasne zdefiniowanie ról w kontaktach ze sztuczną inteligencją. Norma ISO wymaga zniuansowanego podejścia w całym cyklu życia systemów AI. Zazwyczaj można wyróżnić trzy role: dewelopera AI, producenta AI i użytkownika AI.

Deweloper jest odpowiedzialny za tworzenie modeli i systemów - czyli za szkolenie, przygotowanie danych, architekturę modelu i implementację techniczną. Z kolei producent wdraża system sztucznej inteligencji w środowisku produkcyjnym, integruje go z procesami biznesowymi i jest odpowiedzialny za jego działanie i zgodność z określonymi wymaganiami. Wreszcie, użytkownik stosuje sztuczną inteligencję w codziennych operacjach, podejmuje odpowiedzialne decyzje w oparciu o wyniki lub zleca automatyczne wykonywanie procesów.

Rozróżnienie to jest istotne nie tylko z perspektywy organizacyjnej, ale ma również bezpośredni wpływ na ocenę ryzyka, zakres odpowiedzialności i mechanizmy kontroli. Wynika to z faktu, że różne role wiążą się z różnymi obowiązkami, ryzykiem i możliwościami wpływania na zachowanie sztucznej inteligencji.

Jak można ustanowić zarządzanie sztuczną inteligencją w firmie?

Rozwój zarządzania sztuczną inteligencją opiera się na znanych ramach systemów zarządzania, ale ze względu na specyficzne wymagania sztucznej inteligencji wymaga znacznie więcej niż prostego dodatku.

Ten prosty przegląd służy jako punkt wyjścia do opracowania systemu zarządzania sztuczną inteligencją. Formalnie opiera się on na ustalonych ramach ISO, takich jak te zawarte w normach ISO 9001 lub ISO 27001:

• Kontekst organizacyjny
• Zarządzanie ryzykiem
• Jasno określone role i obowiązki
• Udokumentowane informacje
• Audyty wewnętrzne
• Ciągłe doskonalenie (CIP)

Ta znajoma struktura ułatwia rozpoczęcie pracy, przynajmniej na pierwszy rzut oka. Pod względem treści norma ISO 42001 wprowadza jednak nowy wymiar, który wykracza daleko poza tradycyjne systemy zarządzania.

Kluczowa różnica leży w naturze samej sztucznej inteligencji. Podczas gdy inne standardy często jasno określają, czym jest "produkt" lub usługa, sztuczna inteligencja zmusza firmy do ponownego przemyślenia podstawowych kwestii.

Nacisk kładziony jest na:

• etycznej ocenie aplikacji
• uczciwości i przejrzystości algorytmów
• pochodzenie i jakość danych szkoleniowych
• identyfikowalność decyzji

Kwestia odpowiedzialności jest szczególnie trudna: Kto jest ostatecznie odpowiedzialny za decyzje podejmowane przez sztuczną inteligencję lub z jej pomocą? Aspektów tych nie można po prostu zintegrować z istniejącymi systemami - wymagają one zmiany sposobu myślenia.

Dlatego też wiele organizacji wychodzi z założenia, że normę ISO 42001 można wdrożyć jako rozszerzenie istniejących systemów zarządzania. W praktyce jednak szybko okazuje się, że działa to tylko w ograniczonym zakresie. Podczas gdy istniejące struktury mogą służyć jako podstawa, wymagania specyficzne dla sztucznej inteligencji wymagają znacznie głębszej analizy własnych procesów, technologii i mechanizmów decyzyjnych organizacji. ISO 42001 nie jest zatem dodatkiem, ale zmianą perspektywy.

W jaki sposób ISO 42001 i unijna ustawa o sztucznej inteligencji są ze sobą powiązane?

Ustawa UE o sztucznej inteligencji określa wymogi regulacyjne dotyczące sztucznej inteligencji, a norma ISO 42001 pokazuje, w jaki sposób organizacje mogą systematycznie włączać te wymogi do swoich systemów zarządzania i zarządzania.

Kluczowym aspektem, który staje się coraz ważniejszy w połączeniu z ISO 42001, jest klasyfikacja systemów sztucznej inteligencji według ich potencjału ryzyka, zgodnie z rozporządzeniem. Zasadniczo rozróżnia ona cztery klasy ryzyka:

• Zabronione systemy AI
• Systemy wysokiego ryzyka
• Systemy AI o ograniczonym ryzyku
• Systemy o minimalnym ryzyku

Klasyfikacja ta ma bezpośredni wpływ na wymagania dotyczące rozwoju, wdrażania i monitorowania.

Podczas gdy systemy o minimalnym ryzyku podlegają niewielu wymogom regulacyjnym, aplikacje wysokiego ryzyka - takie jak te związane z infrastrukturą krytyczną, decyzjami personalnymi lub zastosowaniami medycznymi - podlegają surowym wymogom dotyczącym dokumentacji, przejrzystości, nadzoru ludzkiego, bezpieczeństwa i zarządzania ryzykiem związanym ze sztuczną inteligencją.

Dla firm oznacza to, że ISO 42001 i rozporządzenie w sprawie sztucznej inteligencji są ze sobą powiązane. Podczas gdy rozporządzenie określa , co jest wymagane przez prawo, norma ISO zapewnia ramy strukturalne dla systematycznego przekładania tych wymagań na konkretne środki. Szczególnie w przypadku systemów wysokiego ryzyka staje się jasne, jak ważny jest funkcjonujący system zarządzania sztuczną inteligencją dla zapewnienia zgodności nie tylko doraźnie, ale w sposób zrównoważony.

Jak można wdrożyć normę ISO 42001 w praktyce?

Pomyślne wdrożenie normy ISO 42001 zależy od organizacji zarządzających wdrażaniem sztucznej inteligencji, zarządzaniem ryzykiem związanym ze sztuczną inteligencją i obowiązkami w sposób iteracyjny, wielofunkcyjny i przejrzysty.

Niezwykle istotnym elementem dotychczasowej perspektywy jest zrozumienie, w jaki sposób i po co wdrażana jest sztuczna inteligencja. Przedsiębiorstwa wykorzystują obecnie KI w różnych obszarach - od automatyzacji procesów wewnętrznych, przez oparte na danych procesy zarządzania podmiotami, aż do interakcji z klientami lub zarządzania dużymi zbiorami danych.

Prawdziwym wyzwaniem nie jest jednak zidentyfikowanie tych obszarów zastosowań, ale wyważenie ich korzyści w stosunku do ryzyka. Właśnie w tym miejscu pojawia się ISO 42001: zmusza organizacje do aktywnego osiągnięcia tej równowagi, zamiast pozostawiać ją przypadkowi.

Droga do certyfikacji rzadko jest prosta. Wręcz przeciwnie, jest naznaczona iteracjami, nowymi spostrzeżeniami, a czasami niepewnością. Typowe wyzwania obejmują niejasne obowiązki, brak przejrzystości w zakresie istniejących systemów sztucznej inteligencji, złożoność oceny ryzyka i niezbędną zmianę kulturową w organizacji.

Jedna rzecz staje się szczególnie jasna w miarę rozwoju procesu: Zarządzanie AI i odpowiedzialne korzystanie ze sztucznej inteligencji nie może być delegowane. Dotyczy to zarówno kierownictwa, jak i IT oraz jednostek biznesowych i wymaga wspólnego zrozumienia i ścisłej współpracy.

Jakie są powody wdrożenia zarządzania sztuczną inteligencją?

Wyzwania związane z wdrożeniem systemu zarządzania sztuczną inteligencją nie mogą zostać przeoczone - istnieje jednak wiele dobrych powodów, aby przyjąć zarządzanie sztuczną inteligencją i dążyć do certyfikacji ISO 42001 w sposób zorganizowany. Firmy, które podejmują ten krok, nie tylko pozycjonują się jako pionierzy, ale także ustanawiają solidne podstawy prawne w celu spełnienia przyszłych wymogów regulacyjnych i zapewnienia trwałej zgodności.

Budują zaufanie swoich klientów i partnerów, jednocześnie uzyskując znacznie głębsze zrozumienie własnego wykorzystania sztucznej inteligencji. Ostatecznie jest to również kwestia wiarygodności: każdy, kto wyjaśnia innym, jak odpowiedzialnie korzystać ze sztucznej inteligencji, powinien być w stanie sam wykazać się takim zaangażowaniem.

Wnioski: Czy zarządzanie sztuczną inteligencją to coś więcej niż certyfikat?

Ostatecznie certyfikat ISO 42001 to znacznie więcej niż tylko kolejna pozycja na liście rzeczy do zrobienia. Jest to narzędzie służące dojrzewaniu naszego podejścia do jednej z kluczowych technologii naszych czasów. W środowisku, w którym wciąż istnieje niewiele danych empirycznych, niewiele najlepszych praktyk i tylko ograniczone wytyczne, rozpoczęcie działalności nieuchronnie wiąże się z pewną dozą ryzyka. Ale właśnie w tym tkwi szansa. Ponieważ ci, którzy zaczynają dzisiaj, aktywnie kształtują standardy jutra.

Kluczowym pytaniem nie jest zatem to, czy ścieżka jest łatwa. Nie jest. Kluczowym pytaniem jest raczej to, czy w kontekście cyfryzacji i zarządzania technologią jesteśmy gotowi stawić czoła obecnym wyzwaniom i przenieść nasze odpowiedzialne wykorzystanie sztucznej inteligencji na nowy poziom.

DQS - ponieważ nie wszystkie audyty są sobie równe

Tak jak każda firma i organizacja wykorzystuje sztuczną inteligencję na swój własny sposób, tak też cele, do których dąży, są bardzo zróżnicowane. Aby zapewnić bezpieczne korzystanie z systemów AI, od końca 2023 roku obowiązuje nowy międzynarodowy standard systemu zarządzania specjalnie dla AI - ISO/IEC 42001. DQS jest jedną z pierwszych jednostek certyfikujących na świecie, która oferuje akredytowaną certyfikację ISO 42001.

Skorzystaj z wiedzy naszych ekspertów. Poznaj najważniejsze wymagania normy i dowiedz się, co oznaczają one dla Twojej organizacji. Od 40 lat angażujemy się w bezstronne audyty i certyfikacje. Nasze zaangażowanie zawsze zaczyna się tam, gdzie kończą się listy kontrolne audytu. Uwierz nam na słowo. Czekamy na wiadomość od Ciebie.

Zaufanie i fachowość

Nasze dokumenty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub doświadczonych audytorów. Jeśli masz jakiekolwiek pytania do naszych autorów dotyczące treści naszych dokumentów lub naszych usług, prosimy o przesłanie nam wiadomości e-mail: [email protected]

Uwaga: Ze względu na czytelność używamy ogólnej formy męskiej. Jednak niniejsza dyrektywa ogólnie obejmuje osoby o wszystkich tożsamościach płciowych, w zakresie niezbędnym do złożenia oświadczenia.