Регуляторный момент наступил
На протяжении трёх лет корпоративное управление ИИ было в значительной мере добровольным — вопросом передовой практики, внутренней политики и управления репутационными рисками. Этот период закончился.
Регламент ЕС об ИИ вступает в силу поэтапно с 2024 по 2026 год, создавая обязательные требования для организаций, развёртывающих ИИ-системы на европейском рынке, со значительными финансовыми санкциями за несоответствие. Закон Канады об искусственном интеллекте и данных (ЗИДД) продвигается в парламенте, устанавливая национальные рамки, которые затронут организации под федеральной юрисдикцией. В США серия исполнительных приказов и отраслевых инструкций создаёт набор обязательных требований, затрагивающих большинство крупных предприятий.
Для корпоративных лидеров это больше не вопрос о том, строить ли систему управления ИИ, — а вопрос о том, строить ли её сейчас, проактивно, или реактивно после инцидента или регуляторного предписания.
Организации, выстраивающие управление проактивно, получают конкурентное преимущество. Они развёртывают ИИ быстрее, с большей уверенностью, потому что имеют инфраструктуру для принятия обоснованных решений о допустимом использовании. Организации, откладывающие управление, накапливают риск, который не поддаётся количественной оценке.
Регуляторный ландшафт в 2026 году
Регламент ЕС об ИИ. Регламент устанавливает систему классификации ИИ-систем по рискам: недопустимый риск (запрещён), высокий риск (требования оценки соответствия, прозрачности и контроля человека), ограниченный риск (обязательства по прозрачности) и минимальный риск (практически нерегулируемый). Высокорисковые применения включают ИИ в рекрутинге, образовании, кредитных решениях, правоохранительной деятельности, пограничном контроле, биометрической идентификации и критической инфраструктуре.
ЗИДД Канады. Закон об искусственном интеллекте и данных, часть законопроекта C-27, вводит обязательства для ИИ-систем с «высоким воздействием». ЗИДД требует оценки воздействия, мер снижения рисков, мониторинга и ведения документации, а также создаёт нового Комиссара по ИИ и данным.
Отраслевые требования США. В США обязательства по управлению ИИ в настоящее время отраслевые, а не комплексные. Организации финансовых услуг сталкиваются с инструкциями по управлению модельными рисками. Организации здравоохранения сталкиваются с руководством FDA по устройствам медицинского назначения с поддержкой ИИ.
Появляющиеся обязательства. Организациям следует также учитывать растущий массив инструкций от провинциальных и государственных регуляторов, комиссий по ценным бумагам и отраслевых ассоциаций.
Пять столпов корпоративного управления ИИ
Эффективное управление ИИ — это не один документ политики. Это система из пяти взаимосвязанных элементов, которые вместе создают подотчётность, прозрачность и контроль.
Столп 1: Структура подотчётности
Каждая ИИ-система, развёртываемая организацией, должна иметь назначенного владельца — руководителя или старшего менеджера, ответственного за соответствие системы политике и регулированию, точность и адекватность её результатов, а также решения о модификации или выводе из эксплуатации.
На организационном уровне управление ИИ требует межфункциональной ответственности. Технологии владеют инфраструктурой и конвейером развёртывания. Юридическая служба и комплаенс владеют регуляторным картированием и политической базой. Бизнес-подразделения владеют определением случаев использования и мониторингом результатов. Комитет по управлению, охватывающий эти функции, с операционным, а не консультативным мандатом, является структурным фундаментом.
Столп 2: Прозрачность и документация
Реестр ИИ-систем является основой этого столпа. Каждая ИИ-система в производстве должна быть каталогизирована со стандартизированной документацией, охватывающей: случай использования и поддерживаемый бизнес-процесс, входные и выходные данные, решение или действие, на которое влияет система, классификацию рисков, действующие механизмы надзора и применимые регуляторные обязательства.
Ведение этого реестра требует процесса: новые ИИ-системы должны быть зарегистрированы перед развёртыванием, существенные изменения в существующих системах должны быть задокументированы.
Столп 3: Управление рисками
ИИ-системы создают риски, которые традиционные IT-системы управления рисками не полностью адресуют. Оценка рисков для каждой ИИ-системы должна охватывать: потенциал вреда при производстве неверных или предвзятых результатов, широту воздействия, обратимость решений под влиянием ИИ, наличие или отсутствие контроля человека.
Оценка предвзятости и справедливости — специфическое требование управления рисками, которое легко недооценить. ИИ-системы, обученные на исторических данных, будут отражать исторические паттерны, включая исторические диспаритеты.
Столп 4: Управление данными
Управление данными для ИИ требует чёткости в нескольких конкретных вопросах для каждой ИИ-системы: какие данные используются для обучения и каковы условия согласия и лицензирования? Какие данные система обрабатывает в производстве и какие обязательства по конфиденциальности применяются? Где обрабатываются и хранятся данные, ограничивают ли требования о резидентности данных варианты развёртывания?
Использование сторонних ИИ-моделей (GPT-4, Claude, Gemini и других) создаёт специфические обязательства по управлению данными. Многие организации не проверяли, соответствуют ли данные, которые их сотрудники отправляют этим моделям, условиям обработки данных.
Столп 5: Контроль человека
Наиболее последовательное требование во всех системах управления ИИ — значимый контроль человека: способность людей понимать, отслеживать, исправлять и при необходимости переопределять ИИ-системы.
Требования к контролю человека должны быть откалиброваны по рискам. ИИ-система, влияющая на решения о кредитовании или клинические решения, требует надёжной проверки человеком результатов ИИ перед тем, как они повлияют на решения. Система управления должна указывать для каждой категории использования ИИ, какой надзор требуется и как отслеживается соблюдение.
Создание комитета по управлению ИИ
| Элемент | Детали | |---|---| | Председатель | Директор по рискам, Главный юрисконсульт или CTO — с отчётностью перед советом | | Основные члены | Юридическая служба/Комплаенс, Технологии/IT, Защита данных, Бизнес-операции, HR | | Периодичность заседаний | Ежемесячно для операционных вопросов; ежеквартально для стратегического обзора | | Полномочия | Одобрение развёртываний ИИ выше определённого порога риска; реагирование на инциденты | | Отчётность совету | Ежеквартальная сводка реестра ИИ-систем, инцидентов, регуляторных изменений | | Пересмотр устава | Ежегодно или после существенных регуляторных изменений |
Распространённые сбои в управлении
Управление, которое является консультативным, а не операционным. Комитет, который рассматривает развёртывания, но не может их остановить, или который производит руководящие принципы, которым бизнес-подразделения не обязаны следовать, не управляет ИИ — он документирует стремления организации.
Документация без мониторинга. Завершить оценку рисков перед развёртыванием, но не отслеживать производительность системы в производстве означает управление, которое затрагивает момент одобрения, но упускает момент сбоя.
Команды по защите данных, привлечённые после проектирования. ИИ-системы, спроектированные, протестированные и подготовленные к развёртыванию до рассмотрения командой по защите данных, как правило, требуют значительной доработки.
Управление, охватывающее заказной ИИ, но не встроенный ИИ. Многие организации имеют надёжные процессы для ИИ-систем, которые они строят сами, но не имеют видимости возможностей ИИ, встроенных в их SaaS-платформы.
Подход Remolda к консалтингу по управлению
Remolda работает с корпоративными клиентами для построения систем управления ИИ, которые отвечают регуляторным требованиям, соразмерны их конкретному профилю рисков и спроектированы операционными, а не декоративными.
Наши проекты по управлению обычно начинаются с аудита развёртываний ИИ, за которым следует регуляторное картирование для определения применимых обязательств, и затем процесс проектирования и внедрения системы, которая строит структуру комитета, политики, стандарты документации и процессы мониторинга.
Если ваша организация строит или пересматривает свою систему управления ИИ, свяжитесь с Remolda, чтобы обсудить, как мы можем поддержать эту работу.
Дополнительное чтение: Почему управление ИИ нужно выстраивать до развёртывания инструментов | Услуги по стратегии и управлению ИИ