Впровадження управління ШІ: застосування ISO 42001 на практиці

Чому компанії повинні впроваджувати управління штучним інтелектом?

Компанії повинні впроваджувати відповідальне управління штучним інтелектом, щоб структуровано керувати використанням штучного інтелекту, зменшувати ризики, будувати довіру та ефективно виконувати як нормативні, так і стратегічні вимоги.

Те, що на перший погляд здається амбітною ідеєю, швидко виявляється логічним наслідком тенденції, яка вже давно стала реальністю: штучний інтелект проник у бізнес – часто швидше, ширше та глибше, ніж очікувалося. Водночас, нормативні вимоги посилюються – наприклад, через Закон ЄС про штучний інтелект – і клієнти дедалі більше очікують вагомих доказів відповідального використання штучного інтелекту.

Таким чином, погляди на впровадження та сертифікацію ISO 42001 докорінно змінилися. Питання більше не в тому, чи повинні компанії впроваджувати управління штучним інтелектом, а в тому, наскільки систематично та перевірено вони це роблять – і які переваги це приносить.

Саме тут і вступає в гру ISO 42001 як Система управління ШІ (AIMS). Як перший у світі стандарт для систем управління ШІ, він визначає рамки для систематичного управління використанням ШІ, контролю ризиків та чіткого встановлення відповідальності. Таким чином, це набагато більше, ніж просто черговий стандарт – це інструмент для впровадження довіри.

Однак, перш ніж організації вирушать на цей шлях, їм потрібна чіткість щодо своєї мети. Сертифікація ISO 42001 не є самоціллю і не повинна розглядатися лише як проект із забезпечення відповідності. Швидше, метою є побудова довіри між клієнтами, партнерами та регуляторними органами; конкретне вирішення таких ризиків, як упередженість, дискримінація, нецільове використання даних або помилкові рішення, прийняті моделями; а також створення надійної системи управління використанням штучного інтелекту.

Водночас це дає стратегічну перевагу: в середовищі, де ще мало піонерів, рання сертифікація може слугувати чіткою ознакою диференціації. 

Які перші кроки необхідні для системи управління ШІ?

Першим кроком у впровадженні системи управління штучним інтелектом є проведення комплексної оцінки фактичного використання штучного інтелекту та чітке визначення того, що являє собою штучний інтелект у контексті ISO 42001.

Отже, справжній шлях до управління штучним інтелектом починається не з політик чи документів, а з чесної оцінки поточної ситуації. І саме тут багато компаній стикаються з першим сюрпризом: вони знають набагато менше про власне використання ШІ, ніж усвідомлюють. Штучний інтелект зустрічається не лише в очевидних застосуваннях, таких як чат-боти чи моделі машинного навчання, але й у численних інструментах, автоматизаціях, програмних застосунках та цифрових рішеннях, що використовуються в повсякденній діяльності. Зробити цей «прихований ШІ» видимим є одним із найважливіших – і водночас найскладніших – кроків на шляху до Сертифікації ISO 42001.
 

Як ми можемо ефективно оцінювати системи штучного інтелекту?

Тісно пов'язане з цим питання про те, що насправді кваліфікується як штучний інтелект згідно зі стандартом. Не кожна система автоматично підпадає під вимоги стандарту системи управління. Ключові фактори включають те, чи приймає система рішення самостійно, чи просто підтримує їх, чи навчаються моделі, чи вони просто використовуються, а також який вплив програма має на людей, процеси, дані чи рішення. Ця відмінність є важливою, оскільки вона визначає сферу застосування майбутньої системи управління ШІ.

Які ролі та обов'язки необхідні для управління ШІ?

Управління ШІ вимагає чітко визначених ролей протягом усього життєвого циклу ШІ, оскільки різні обов'язки тягнуть за собою різні зобов'язання, ризики та вимоги до контролю.

Часто недооцінений, але вирішальний аспект впровадження та сертифікації ISO 42001 – це чітке визначення ролей під час роботи зі штучним інтелектом. Стандарт ISO вимагає нюансованого підходу протягом усього життєвого циклу систем штучного інтелекту. Як правило, можна виділити три ролі: розробник ШІ, виробник ШІ та користувач ШІ.

Розробник відповідає за розробку моделей та систем, тобто за навчання, підготовку даних, архітектуру моделі та технічну реалізацію. Виробник, з іншого боку, розгортає систему штучного інтелекту у виробничому середовищі, інтегрує її в бізнес-процеси та відповідає за її роботу та відповідність визначеним вимогам. Зрештою, користувач застосовує штучний інтелект у щоденних операціях, приймає відповідальні рішення на основі результатів або автоматично виконує процеси.

Ця відмінність є актуальною не лише з організаційної точки зору, але й має прямі наслідки для оцінки ризиків, обов'язків та механізмів контролю. Це пояснюється тим, що різні ролі тягнуть за собою різні зобов'язання, ризики та можливості впливати на поведінку ШІ.

Як можна налагодити управління штучним інтелектом у компанії?

Розробка управління ШІ спирається на знайомі структури систем управління, але через специфічні вимоги ШІ вимагає набагато більше, ніж простого доповнення.

Цей простий огляд слугує відправною точкою для розробки системи управління штучним інтелектом. Формально він базується на встановлених рамках ISO, таких як ті, що містяться в ISO 9001 або ISO 27001:

• Організаційний контекст
• Управління ризиками
• Чіткі ролі та обов'язки
• Документована інформація
• Внутрішні аудити
• Постійне вдосконалення (CIP - Continuous improvement)

Ця знайома структура спрощує початок роботи, принаймні на перший погляд. Однак, з точки зору змісту, ISO 42001 вводить новий вимір, який виходить далеко за межі традиційних систем управління.

Ключова відмінність полягає в самій природі штучного інтелекту. Хоча інші стандарти часто чітко визначають, що таке «продукт» або послуга, штучний інтелект змушує компанії переосмислити фундаментальні питання.

Основна увага приділяється:

• етичні оцінки заявок
• алгоритмічна справедливість та прозорість
• походження та якість навчальних даних
• відстежуваність рішень

Питання відповідальності є особливо складним: хто зрештою несе відповідальність за рішення, прийняті штучним інтелектом або за його допомогою? Ці аспекти не можна просто інтегрувати в існуючі системи – вони вимагають зміни мислення.

Тому багато організацій починають з припущення, що ISO 42001 можна впровадити як розширення існуючих систем управління. Однак на практиці швидко стає очевидним, що це працює лише обмежено. Хоча існуючі структури можуть служити основою, вимоги, специфічні для штучного інтелекту, вимагають набагато глибшого вивчення власних процесів, технологій та механізмів прийняття рішень організації. Таким чином, ISO 42001 не є доповненням, а зміною перспективи.

Як пов'язані ISO 42001 та Закон ЄС про штучний інтелект?

Закон ЄС про штучний інтелект встановлює регуляторні вимоги до штучного інтелекту, а стандарт ISO 42001 показує, як організації можуть систематично інтегрувати ці вимоги у свої системи управління та менеджменту.

Ключовим аспектом, який стає дедалі важливішим у поєднанні з ISO 42001, є класифікація систем штучного інтелекту відповідно до їхнього потенціалу ризику, як це передбачено в регламенті. По суті, він розрізняє чотири класи ризику:

• Заборонені системи штучного інтелекту
• Системи високого ризику
• Системи штучного інтелекту з обмеженим ризиком
• Системи з мінімальним ризиком

Ця класифікація має прямий вплив на вимоги до розробки, розгортання та моніторингу.

Хоча системи з мінімальним ризиком підлягають невеликим нормативним вимогам, програми з високим рівнем ризику, такі як ті, що стосуються критичної інфраструктури, кадрових рішень або медичних застосувань, підлягають суворим вимогам щодо документації, прозорості, людського нагляду, безпеки та управління ризиками, пов'язаними з ШІ.

Для компаній це означає, що ISO 42001 та Регламент про штучний інтелект взаємопов’язані. Хоча Регламент визначає що вимагається законом, стандарт ISO забезпечує структурну основу для систематичного перетворення цих вимог у конкретні заходи. Особливо у випадку систем високого ризику стає зрозуміло, наскільки важлива функціонуюча система управління штучним інтелектом для забезпечення відповідності не лише на ситуативній основі, а й на сталому рівні.

Як можна впровадити ISO 42001 на практиці?

Успішне впровадження ISO 42001 залежить від того, наскільки організації керують розгортанням ШІ, управлінням ризиками, пов'язаними зі ШІ, та розподілом обов'язків у ітеративний, міжфункціональний та прозорий спосіб.

Невід'ємною складовою вже окресленої зміни перспективи є свідомий розгляд питання про те, де і чому використовується ШІ. Сьогодні компанії використовують ШІ в найрізноманітніших сферах — від автоматизації внутрішніх процесів та підтримки прийняття рішень на основі даних до взаємодії з клієнтами або розпізнавання образів у великих обсягах даних.

Однак справжня проблема полягає не у визначенні цих сфер застосування, а у зважуванні їхніх переваг та ризиків. Саме тут і з'являється ISO 42001: він спонукає організації активно знаходити цей баланс, а не залишати все на волю випадку.

Шлях до сертифікації рідко буває прямолінійним. Навпаки, він характеризується ітераціями, новими ідеями та, часом, невизначеностями. Типові проблеми включають нечіткі обов'язки, відсутність прозорості щодо існуючих систем штучного інтелекту, складність оцінки ризиків та необхідні культурні зміни в організації.

Одне стає особливо зрозумілим у міру розгортання процесу: управління штучним інтелектом та відповідальне його використання не можна делегувати. Це стосується як керівництва, так і ІТ-відділів та бізнес-підрозділів, і вимагає спільного розуміння та тісної співпраці.

Які причини для впровадження управління штучним інтелектом?

Не можна ігнорувати труднощі, пов'язані з впровадженням системи управління штучним інтелектом, проте існує багато вагомих причин для впровадження управління штучним інтелектом та його реалізації. Сертифікацію ISO 42001 структуровано. Компанії, які роблять цей крок, не лише позиціонують себе як піонери, але й створюють надійну правову основу для виконання майбутніх нормативних вимог та забезпечення сталого дотримання вимог.

Вони будують довіру зі своїми клієнтами та партнерами, водночас отримуючи набагато глибше розуміння власного використання ШІ. Зрештою, це також питання довіри: кожен, хто пояснює іншим, як відповідально використовувати ШІ, повинен мати змогу сам продемонструвати цю відданість.

Висновок: Чи є управління ШІ чимось більшим, ніж просто сертифікатом?

Зрештою, Сертифікація ISO 42001 це набагато більше, ніж просто черговий пункт у вашому списку справ. Це інструмент для удосконалення нашого підходу до однієї з ключових технологій нашого часу. У середовищі, де досі мало емпіричних даних, мало передового досвіду та лише обмежені рекомендації, початок неминуче пов'язаний з певним ризиком. Але саме в цьому і полягає можливість. Тому що ті, хто починає сьогодні, активно формують стандарти завтрашнього дня.

Отже, ключове питання не в тому, чи легкий цей шлях. Він не легкий. Швидше, ключове питання полягає в тому, чи готові ми в контексті цифровізації та управління технологіями зіткнутися з цими сучасними викликами та вивести наше відповідальне використання штучного інтелекту на новий рівень.

DQS – оскільки не всі аудити однакові

Так само, як кожна компанія та організація використовує штучний інтелект по-своєму, цілі, які вони переслідують за допомогою нього, дуже різняться. Щоб забезпечити безпечне використання систем штучного інтелекту, з кінця 2023 року діє новий міжнародний стандарт системи управління, спеціально розроблений для ШІ — ISO/IEC 42001. DQS є одним з перших органів сертифікації у світі, який пропонує акредитовану сертифікацію ISO 42001.

Скористайтеся досвідом наших експертів. Дізнайтеся про найважливіші вимоги стандарту та що вони означають для вашої організації. Протягом 40 років ми залишаємося відданими принципам неупереджених аудитів та сертифікації. Наші зобов'язання завжди починаються там, де закінчуються контрольні списки аудитів. Повірте нам на слово. Будемо раді почути вас.

Довіра та експертиза

Наші документи та брошури написані виключно нашими експертами зі стандартів або досвідченими аудиторами. Якщо у вас є будь-які запитання до нашого автора щодо змісту наших документів або наших послуг, будь ласка, надішліть нам електронного листа: [email protected]

Примітка: Для зручності читання ми використовуємо загальну чоловічу форму. Однак ця директива загалом стосується людей усіх гендерних ідентичностей, наскільки це необхідно для твердження.