Deși guvernanța și controlul inteligenței artificiale sunt foarte importante, organizațiile nu ar trebui să urmărească aplicări generale, mai ales când diferențiază între ceea ce este o chestiune de guvernanță față de tehnologie.
Acest punct a fost ridicat de mai mulți vorbitori la un webcast recent Grant Thornton găzduit de Vikrant Rai, director general de consultanță de risc, audit intern și securitate cibernetică, și Alex Hinkebein, manager senior pentru consultanță de risc, audit intern și securitate cibernetică.
Rai spune că adoptarea AI a fost foarte rapidă, iar AI agentică și mai mult, conducând schimbări dramatice în întreaga lume a afacerilor. Dar, odată cu această schimbare, au apărut atât riscuri noi, cât și riscuri vechi adaptate pentru era AI. Întoarcerea la modul în care erau lucrurile nu este o opțiune, potrivit lui Rai, și astfel organizațiile trebuie să se familiarizeze cu riscurile potențiale pe care le aduce tehnologia.
El a indicat o serie de eșecuri AI foarte publice: impersonări deepfake ale directorilor corporativi, documente legale AI cu cazuri fabricate, AI ștergând din greșeală o întreagă bază de date de producție, AI de angajare acuzate de discriminare suplimentară și jurnale de chatboți scurse accidental publicului. Astfel de cazuri sunt doar o fracțiune din toate modurile în care AI poate produce rezultate categoric suboptimale și toate demonstrează importanța controalelor.
"Ascensiunea agenților este aici pentru a rămâne, dar modul în care facem asta trebuie să fie într-un mod care să aibă grijă de principiile AI, fie că este vorba de siguranță, securitate și asigurarea dezvoltării unor sisteme AI responsabile pe măsură ce avansăm în viitor", a spus Rai.
Aceasta a dus la o serie de noi reglementări, cadre și standarde centrate în jurul AI. Hinkebein a menționat că, în prezent, 38 de state diferite au adoptat legi care reglementează AI într-o formă sau alta, cum ar fi Legea RAISE din New York, Legea privind transparența datelor de formare Gen AI din California, Legea AI din Colorado, Legea privind politica AI din Utah și Legea privind guvernanța RAI din Texas. Deși detaliile pot varia foarte mult, toate sunt preocupate de adoptarea unor practici AI responsabile, precum și de explicarea și demonstrarea acestora.
"Când se reduce la asta, totul se referă la modul în care gestionăm guvernanța și suntem capabili să explicăm modelele și să arătăm că sunt în vigoare controalele de securitate adecvate... O mulțime de controale de securitate diferite [se referă la] demonstrarea modului în care organizațiile le folosesc în cadrul modelelor lor", a spus ea.
Pe lângă legile și reglementările actuale, există cadre și standarde în gestionarea riscurilor AI, cum ar fi NIST AI RMF, ISO 42001, Principiile OECD AI și multe altele. Deși toate se referă la AI, fiecare subliniază aspecte diferite ale diferitelor scopuri și țin cont de diferite riscuri pentru diferiți utilizatori. A avea un cadru în vigoare este la fel de important ca și adaptarea acestuia la nevoile și riscurile organizației specifice.
"Veți vedea o combinație de standarde și cadre", a spus Rai. "Nu trebuie să le folosiți pe toate, dar este important să înțelegeți ce reglementări se aplică dvs. și ce principii și riscuri doriți să abordați și să gestionați mai eficient. Ce cadru se aliniază cel mai bine cu cerințele dvs.?"
În timp ce organizațiile ar trebui, în general, să adapteze cadrele la nevoile individuale, acest lucru devine și mai important atunci când se discută despre AI, deoarece vine cu riscuri în care metodele tradiționale de guvernanță pot fi mai puțin eficiente. În timp ce unele riscuri de guvernanță se referă la politică, există o mulțime de riscuri tehnice de care trebuie să se țină cont. De exemplu, riscul ca AI să inventeze lucruri din nimic este înrădăcinat în designul tehnic al AI în sine. Pe de altă parte, un agent care începe brusc să ceară permisiuni pentru sisteme și platforme pe care nu ar trebui absolut să le aibă poate arăta mai mult ca o variantă cu aromă AI a problemei tradiționale a cine poate accesa ce și în ce circumstanțe. Este important să cunoașteți diferența.
"Vom vedea probabil agenți care iau decizii", a continuat Rai. "De ce guvernanța este importantă este pentru a gestiona asta. Cum gestionăm riscul cu AI în capacitățile de luare a deciziilor este în modul în care funcționează platformele AI. Există principii despre corectitudine și transparență și siguranță, dar [este] important să ne asigurăm că, pe măsură ce aceste sisteme sunt proiectate și integrate în aplicațiile tradiționale pentru a le face mai rapide și mai bune, ne asigurăm că nu halucinează, vrem să ne asigurăm că, dacă un utilizator final face o injecție promptă, rămâne pe parcurs."
El a discutat despre diferența dintre ceea ce a numit riscuri funcționale, care se referă la guvernanță, strategie și valoare de afaceri, și riscuri tehnice, care se referă la modele, infrastructură și securitate. Riscurile funcționale ar putea include lucruri precum absența politicilor AI la nivel de întreprindere, inițiative AI lansate fără modelare ROI, risc de implementare rapidă sau utilizarea instrumentelor AI neverificate. Riscurile tehnice, pe de altă parte, ar putea include lucruri precum manipularea adversă a datelor de antrenament, deriva și deteriorarea modelului, atacuri de injecție promptă sau controale tehnice insuficiente.
În timp ce profesioniștii au lăsat de obicei astfel de riscuri în seama departamentului IT, el a spus că este important ca auditorii să le înțeleagă și ei - nu atât pentru că vor analiza codul AI în sine, ci pentru că ajută la clarificarea naturii riscurilor și a modului în care acestea pot evolua dacă sunt lăsate nerezolvate.
"Vorbim despre părtinirea modelului sau injecțiile prompte sau ușile din spate, acestea sunt toate concepte care trebuie înțelese și, din punct de vedere al auditorului, este important să vedem cum sunt defalcate. Trebuie să păstrăm lucrurile simple, dar și să le categorisim ca riscuri funcționale și tehnice. Odată ce le defalcăm, poate fi mai ușor să le punem într-o casetă. 'Oh, vorbim despre lacune de guvernanță sau valoare de afaceri sau cazuri de utilizare neverificate'", a spus el.
Totul depinde, însă, de faptul dacă organizația se gândește deloc la riscul AI. Hinkebein a spus că este important ca organizațiile să integreze riscul AI în cadrul lor mai larg de risc, astfel încât toată lumea să poată fi conștientă de amenințările din peisajul AI. Selectarea din cadrele și standardele de siguranță AI care se potrivesc nevoilor specifice ale organizației poate ajuta foarte mult pentru acest lucru, dintre care unele se vor concentra mai mult pe riscurile tehnice, iar altele mai mult pe riscurile de guvernanță. La fel ca Rai, ea a spus că profesioniștii trebuie să fie conștienți de ambele.
Ea a spus că auditorii interni, în special, sunt foarte bine poziționați pentru a gestiona acest lucru.
"Auditul intern a fost întotdeauna bine poziționat pentru a naviga prin noile schimbări, iar AI nu este diferit. Suntem aici pentru a oferi acea perspectivă independentă care dezvăluie riscurile potențiale, dar permite și inovarea cu existența acelor protecții adecvate", a spus ea.