Introducerea guvernanței AI: Cum să punem în practică ISO 42001

De ce ar trebui companiile să introducă guvernanța AI?

Companiile ar trebui să introducă o guvernanță responsabilă a AI pentru a gestiona utilizarea AI într-o manieră structurată, a controla riscurile, a consolida încrederea și a îndeplini în mod eficient cerințele de reglementare și de conformitate strategică.

Ceea ce pare o idee ambițioasă la prima vedere se dovedește rapid a fi consecința logică a unei evoluții care este de mult timp o realitate: inteligența artificială a ajuns în companii - adesea mai rapid, mai larg și mai profund decât se aștepta. În același timp, cerințele de reglementare cresc, de exemplu ca urmare a Legii UE privind inteligența artificială, iar clienții așteaptă din ce în ce mai mult dovezi fiabile că inteligența artificială este utilizată în mod responsabil.

Prin urmare, perspectiva pentru introducerea și certificarea ISO 42001 s-a schimbat fundamental. Întrebarea nu mai este dacă întreprinderile ar trebui să introducă guvernanța AI, ci în ce mod structurat și verificabil fac acest lucru - și cu ce beneficii.

Tocmai aici intervine ISO 42001 ca sistem de management al AI (AIMS). Fiind primul standard din lume pentru sistemele de management al AI, acesta definește un cadru pentru gestionarea sistematică a utilizării AI, controlul riscurilor și ancorarea clară a responsabilităților. Prin urmare, este mult mai mult decât un simplu standard - este un instrument pentru operaționalizarea încrederii.

Dar, înainte de a se angaja pe această cale, organizațiile au nevoie de claritate cu privire la obiectivul lor. Certificarea ISO 42001 nu este un scop în sine și nu ar trebui să fie privită ca un simplu proiect de conformitate. Mai degrabă, este vorba despre construirea încrederii cu clienții, partenerii și autoritățile, abordarea specifică a riscurilor precum prejudecățile, discriminarea, utilizarea abuzivă a datelor sau deciziile greșite prin intermediul modelelor și stabilirea unei guvernanțe durabile pentru abordarea AI.

În același timp, acest lucru deschide un avantaj strategic: într-un mediu în care există încă puțini pionieri, certificarea timpurie poate fi un diferențiator clar.

Care sunt primii pași de care are nevoie un sistem de gestionare a AI?

Un sistem de gestionare a AI începe cu un inventar complet al utilizării reale a AI și o definiție clară a ceea ce este considerat AI în sensul ISO 42001.

Prin urmare, calea reală către guvernanța AI nu începe cu orientări sau documente, ci cu un inventar onest. Și aici este unde multe companii au prima surpriză: știu mult mai puțin despre propria utilizare a AI decât cred. Inteligența artificială nu se regăsește doar în aplicații evidente, cum ar fi chatbots sau modele de învățare automată, ci și în numeroase instrumente, automatizări, aplicații software și soluții digitale care sunt utilizate în viața de zi cu zi. A face vizibilă această "inteligență artificială ascunsă" este unul dintre cei mai importanți - și în același timp cei mai dificili - pași pe calea către certificarea ISO 42001. 
 

Cum pot fi inventariate cu succes sistemele AI?

Strâns legată de acest aspect este întrebarea ce este considerat de fapt inteligență artificială în sensul standardului. Nu orice sistem intră automat sub incidența cerințelor standardului privind sistemul de management. Factorii decisivi includ dacă un sistem ia decizii în mod independent sau doar le sprijină, dacă modelele sunt instruite sau doar utilizate și ce impact are aplicația asupra oamenilor, proceselor, datelor sau deciziilor. Această diferențiere este esențială, deoarece definește domeniul de aplicare al sistemului ulterior de management al AI.

De ce roluri și responsabilități are nevoie guvernanța AI?

Guvernanța AI necesită roluri clar definite de-a lungul ciclului de viață al AI, deoarece în funcție de responsabilități apar diferite obligații, riscuri și cerințe de control.

Un aspect adesea subestimat, dar central al implementării și certificării ISO 42001 este alocarea clară a rolurilor în ceea ce privește AI. Standardul ISO impune o viziune diferențiată de-a lungul ciclului de viață al sistemelor AI. De obicei, se pot distinge trei roluri: dezvoltatorul AI, producătorul AI și utilizatorul AI.

Dezvoltatorul este responsabil pentru dezvoltarea modelelor și a sistemelor - și anume pentru formare, pregătirea datelor, arhitectura modelului și implementarea tehnică. Pe de altă parte, producătorul plasează sistemul AI într-un context productiv, îl integrează în procesele de afaceri și este responsabil de funcționarea acestuia și de conformitatea cu cerințele definite.În cele din urmă, utilizatorul utilizează AI în viața de zi cu zi, ia decizii responsabile pe baza rezultatelor sau execută procesele în mod automat.

Această distincție nu este relevantă doar din perspectivă organizațională, ci are și un impact direct asupra evaluării riscurilor, responsabilităților și mecanismelor de control. În funcție de rol, există diferite obligații, riscuri și oportunități de a influența comportamentul AI.

Cum poate fi stabilită guvernanța AI într-o companie?

Stabilirea guvernanței AI utilizează structuri familiare ale sistemului de management, dar necesită mult mai mult decât o simplă completare datorită cerințelor specifice ale AI.

Dezvoltarea unui sistem de gestionare a AI începe cu acest simplu rezumat. În termeni formali, acesta se bazează pe structuri ISO familiare, precum cele cunoscute din ISO 9001 sau ISO 27001:

• Contextul organizației
• gestionarea riscurilor
• roluri și responsabilități clare
• informații documentate
• audituri interne
• îmbunătățirea continuă (CIP)

Această structură familiară facilitează începerea, cel puțin la prima vedere. În ceea ce privește conținutul, ISO 42001 aduce cu sine o nouă dimensiune care depășește cu mult sistemele de management tradiționale.

Diferența decisivă constă în natura AI în sine. În timp ce alte standarde definesc adesea în mod clar ce este "produsul" sau serviciul, inteligența artificială obligă companiile să pună noi întrebări fundamentale.

Este vorba despre

• evaluări etice ale aplicațiilor
• corectitudinea și transparența algoritmilor
• originea și calitatea datelor de formare
• trasabilitatea deciziilor

Problema responsabilității este deosebit de dificilă: cine este responsabil în ultimă instanță pentru deciziile luate de inteligența artificială sau cu ajutorul acesteia? Aceste aspecte nu pot fi pur și simplu integrate în sistemele existente - ele necesită o regândire.

Prin urmare, multe organizații pornesc de la premisa că ISO 42001 poate fi pusă în aplicare ca o extindere a sistemelor de management existente. În practică, însă, devine rapid evident că acest lucru nu funcționează decât într-o măsură limitată. Deși structurile existente pot servi drept bază, cerințele specifice AI necesită o examinare mult mai profundă a proceselor, tehnologiilor și mecanismelor decizionale proprii ale organizației. Prin urmare, ISO 42001 nu este o completare, ci o schimbare de perspectivă.

Care este legătura dintre ISO 42001 și Legea UE privind AI?

Actul UE privind inteligența artificială (Regulamentul privind inteligența artificială) specifică cerințele de reglementare pentru inteligența artificială, iar ISO 42001 arată modul în care întreprinderile pot încorpora în mod sistematic aceste cerințe în guvernanța și gestionarea lor.

Un aspect-cheie care devine din ce în ce mai important în legătură cu ISO 42001 este clasificarea sistemelor AI în funcție de potențialul lor de risc, astfel cum se prevede în regulament. Acesta distinge, în esență, între patru clase de risc:

• sisteme AI interzise
• sisteme cu risc ridicat
• sisteme AI cu risc limitat
• sisteme cu risc minim

Această clasificare are un impact direct asupra cerințelor privind dezvoltarea, implementarea și monitorizarea.

În timp ce sistemele cu risc minim nu sunt supuse aproape niciunei cerințe de reglementare, aplicațiile cu risc ridicat - de exemplu în domeniul infrastructurii critice, al deciziilor privind personalul sau al aplicațiilor medicale - sunt supuse unor cerințe stricte în ceea ce privește documentația, transparența, supravegherea umană, securitatea și gestionarea riscurilor AI.

Pentru companii, acest lucru înseamnă că ISO 42001 și Regulamentul privind AI sunt interconectate. În timp ce regulamentul specifică ceea ce este necesar în termeni de reglementare, standardul ISO oferă cadrul structural pentru transpunerea sistematică a acestor cerințe în măsuri. Pentru sistemele cu risc ridicat, în special, devine clar cât de important este un sistem de management al AI funcțional pentru a asigura conformitatea nu doar selectivă, ci și durabilă.

Cum poate fi pusă în aplicare ISO 42001 în practică?

Implementarea practică a ISO 42001 are succes atunci când companiile gestionează implementarea AI, gestionarea riscurilor și responsabilitățile AI într-o manieră iterativă, trans-divizionară și inteligibilă.

O parte indispensabilă a schimbării de perspectivă descrise mai sus este abordarea conștientă a întrebării unde și de ce este utilizată AI. În prezent, companiile utilizează AI într-o mare varietate de domenii - de la automatizarea proceselor interne și suportul decizional bazat pe date până la interacțiunea cu clienții sau recunoașterea modelelor în cantități mari de date.

Cu toate acestea, adevărata provocare nu este de a identifica aceste domenii de aplicare, ci de a cântări valoarea adăugată și riscurile acestora. Tocmai aici intervine ISO 42001: Ea obligă organizațiile să modeleze în mod activ acest echilibru și să nu îl lase la voia întâmplării.

Calea către certificare este rareori liniară. Dimpotrivă: este caracterizată de iterații, noi descoperiri și, uneori, de incertitudini. Provocările tipice includ responsabilități neclare, lipsa de transparență cu privire la sistemele AI existente, complexitatea evaluării riscurilor și schimbarea culturală necesară în cadrul organizației.

Un lucru devine deosebit de clar pe parcursul procesului: guvernanța AI și utilizarea responsabilă a inteligenței artificiale nu pot fi delegate. Aceasta afectează atât conducerea, cât și IT și departamentele specializate, și necesită o înțelegere comună și o cooperare strânsă.

Care sunt motivele pentru introducerea guvernanței AI?

Provocările pe care le implică implementarea unui sistem de management al AI nu trebuie neglijate - cu toate acestea, există multe motive întemeiate pentru a dori să se introducă guvernanța AI și să se adopte o abordare structurată a certificării ISO 42001. Companiile care fac acest pas nu numai că se poziționează ca pionieri, dar creează și o bază juridică solidă pentru a face față cerințelor de reglementare viitoare și pentru o conformitate durabilă.

Ele consolidează încrederea clienților și partenerilor lor și, în același timp, dobândesc o înțelegere mult mai profundă a propriei lor utilizări a AI. În cele din urmă, este vorba și despre credibilitate: oricine explică altora cum funcționează utilizarea responsabilă a AI ar trebui să poată dovedi el însuși această afirmație.

Concluzie: Guvernanța AI este mai mult decât un simplu certificat?

În cele din urmă, certificarea ISO 42001 este mult mai mult decât o simplă activitate suplimentară. Este un instrument de maturizare în abordarea uneia dintre tehnologiile-cheie ale timpului nostru. Într-un mediu în care există încă puțină experiență, puține bune practici și orientări limitate, începerea implică inevitabil un anumit grad de risc. Dar tocmai aici se află oportunitatea. Deoarece cei care încep astăzi contribuie activ la modelarea standardelor de mâine.

Prin urmare, întrebarea crucială nu este dacă drumul este ușor. Nu este. Mai degrabă, întrebarea crucială este dacă sunteți pregătiți să faceți față acestor provocări actuale în contextul digitalizării și al guvernanței tehnologice și să vă ridicați propria abordare responsabilă a AI la un nou nivel.

DQS - pentru că nu toate auditurile sunt la fel

La fel de independent cum fiecare companie și fiecare organizație utilizează inteligența artificială, obiectivele pe care le urmăresc cu aceasta sunt la fel de diferite.Pentru a asigura manipularea în siguranță a sistemelor AI, de la sfârșitul anului 2023 a fost instituit un nou standard internațional de sistem de management special pentru AI: ISO/IEC 42001. DQS este unul dintre primele organisme de certificare din lume care oferă certificare ISO 42001 acreditată.

Beneficiați de expertiza experților noștri. Aflați despre cele mai importante cerințe ale standardului și ce înseamnă acestea pentru organizația dumneavoastră. De 40 de ani susținemauditurile și certificărileimparțiale. Afirmația noastră începe întotdeauna acolo unde se termină listele de verificare a auditului.Credeți-ne pe cuvânt. Așteptăm cu nerăbdare săluăm legătura cu dumneavoastră.

Încredere și expertiză

Textele și broșurile noastre sunt redactate exclusiv de experții noștri în standarde sau de auditori cu vechime. Dacă aveți întrebări cu privire la conținutul textului sau la serviciile noastre pentru autorul nostru, vă rugăm să ne trimiteți un e-mail:[email protected]

Notă: Din motive de mai bună lizibilitate, folosim masculinul generic. Cu toate acestea, directiva include persoane de toate identitățile de gen atunci când este necesar pentru declarație.