Що ради директорів повинні вимагати від ШІ: оцінка, аудит та забезпечення

Від Еріки Філл Т. Легара

У ПОПЕРЕДНІЙ статті BusinessWorld я стверджувала, що управління ШІ виходить за межі нагляду за кількома технологічними проектами і тепер охоплює забезпечення того, щоб рішення, керовані ШІ, у всій організації залишалися узгодженими зі стратегією, ризик-апетитом та етичними стандартами. Природне наступне питання для рад директорів: крім встановлення очікувань, як організація перевіряє, що її системи ШІ насправді працюють як задумано, відповідально та в межах визначених меж?

Відповідь полягає у трьох пов'язаних, але різних дисциплінах: оцінка ризиків ШІ, аудит ШІ та забезпечення гарантій ШІ.Ради, знайомі з фінансовим наглядом, знайдуть логіку інтуїтивно зрозумілою. Виклик і можливість полягають у застосуванні тієї ж дисципліни до ШІ.

3 РІЗНІ, АЛЕ ПОВ'ЯЗАНІ КОНЦЕПЦІЇ
Важливо бути точним щодо того, що означає кожен термін, оскільки їх часто використовують як взаємозамінні, хоча не слід.

Оцінка ризиків ШІ — це внутрішній процес, за допомогою якого організація визначає, оцінює та встановлює пріоритети ризиків, пов'язаних із її системами ШІ. Вона ставить питання: що може піти не так, наскільки це ймовірно та який буде вплив. Це основа, на якій ґрунтується все інше. Без надійної оцінки ризиків ні аудит, ні гарантії не мають значущої базової лінії для роботи. Матеріальні системи ШІ існують у кожному секторі: модель кредитного скорингу в банку, інструмент сортування пацієнтів у лікарні, прогнозувач успішності студентів в університеті, система встановлення пріоритетів справ у державній установі. Що їх об'єднує — це наслідки, які включають результати, що впливають на реальних людей значущими способами.

Для будь-якої такої системи оцінка ризиків повинна бути систематичною, задокументованою та регулярно переглядатися в міру розвитку моделі та зміни операційного середовища.

Аудит ШІ — це незалежне дослідження того, чи відповідає система ШІ або структура управління, що її оточує, визначеним стандартам, політикам або вимогам. Це процес, заснований на доказах, який проводиться стороною, достатньо незалежною від тих, хто відповідає за систему, що перевіряється. Аудит ШІ може оцінити, чи відповідають практики управління ШІ організації міжнародно визнаному стандарту, такому як ISO/IEC 42001, перший у світі стандарт системи управління ШІ, опублікований у 2023 році, або чи працює конкретна модель в межах затверджених параметрів і без ненавмисного упередження. Важливо, що стандарт, що регулює самих аудиторів, ISO/IEC 42006, опублікований у липні 2025 року, тепер визначає компетентність та суворість, необхідні для органів, які проводять аудит та сертифікують системи управління ШІ. Іншими словами, аудиторська професія починає формалізувати власну відповідальність за залучення до ШІ.

Забезпечення гарантій ШІ — це формальний висновок, орієнтований на зацікавлені сторони, який виникає з цього процесу аудиту. Це професійна думка, видана кваліфікованою та незалежною стороною, яка дає радам директорів, регуляторам, інвесторам та громадськості впевненість, що система ШІ або структура управління ШІ відповідає визначеному стандарту. Гарантія — це те, що перетворює внутрішній огляд на надійний зовнішній сигнал.

ОБҐРУНТУВАННЯ ЗАБЕЗПЕЧЕННЯ ГАРАНТІЙ ШІ
Концепція незалежного забезпечення гарантій не є новою для рад директорів. Щороку зовнішні аудитори перевіряють фінансову звітність організації та видають висновок; висновок, заснований на доказах, проведений відповідно до міжнародно визнаних стандартів і підкріплений професійною незалежністю аудитора. Цей висновок має вагу саме тому, що структура, яка його регулює, є суворою та добре встановленою.Ця логіка застосовується незалежно від галузі; чи є організація банком, лікарнею, конгломератом чи державною установою, фінансовий аудит є знайомим і надійним механізмом.

Та сама логіка тепер застосовується до ШІ. Коли організація робить публічну або регуляторну заяву про свої системи ШІ — що вони справедливі, прозорі, відповідають визначеному стандарту або вільні від матеріального упередження, виникає питання: хто незалежно підтверджує цю заяву та в рамках якої професійної структури?

Відповідь для бухгалтерської та аудиторської професії — ISAE 3000, Міжнародний стандарт завдань з надання впевненості, виданий Радою з міжнародних стандартів аудиту та надання впевненості (IAASB). ISAE 3000 регулює завдання з надання впевненості щодо питань, інших ніж історична фінансова інформація, що робить його природним місцем для забезпечення гарантій ШІ. Відповідно до цього стандарту професіонал може проводити або завдання з надання обґрунтованої впевненості, вищий стандарт, аналогічний фінансовому аудиту, або завдання з надання обмеженої впевненості, яке ближче за глибиною до огляду. Вибір рівня має значення і повинен бути навмисним, відкаліброваним відповідно до суттєвості та ризику конкретної системи ШІ.

Близькою сучасною паралеллю є забезпечення гарантій сталого розвитку або ESG. Багато філіппінських компаній, що котуються на біржі, вже замовляють незалежне забезпечення гарантій щодо своїх розкриттів інформації про сталий розвиток, часто відповідно до ISAE 3000. Механіка точно така ж: незалежний практик перевіряє набір тверджень на відповідність визначеним критеріям і видає формальний висновок. Предмет відрізняється; професійна дисципліна — ні.

ЩО ЦЕ ОЗНАЧАЄ ДЛЯ РАД ДИРЕКТОРІВ
Три практичні наслідки випливають із цієї структури.

По-перше, ради директорів повинні запитати, чи провели їхні організації ретельну оцінку ризиків ШІ для матеріальних систем. Не разова вправа, а живий процес, який оновлюється, коли моделі перенавчаються, випадки використання розширюються, а регуляторне середовище змінюється. Якість подальшої роботи з аудиту та забезпечення гарантій є лише такою ж хорошою, як оцінка ризиків, яка їй передує.

По-друге, ради директорів повинні розрізняти внутрішній та зовнішній аудит ШІ. Функції внутрішнього аудиту відіграють критичну роль у наданні впевненості, що засоби контролю ШІ працюють як задумано. Однак ради директорів також повинні розглянути, чи виправданий незалежний сторонній аудит матеріальних систем ШІ, особливо для систем, які впливають на клієнтів, працівників або громадськість значущими способами. Як і у випадку з фінансовим аудитом, незалежність зміцнює довіру.

По-третє, оскільки організації все частіше беруть на себе публічні зобов'язання щодо своїх практик ШІ перед регуляторами, інвесторами та спільнотами, яким вони служать, ради директорів повинні запитати, чи підкріплені ці зобов'язання надійними гарантіями. Твердження без незалежної перевірки є, у кращому випадку, репутаційним ризиком, який чекає, щоб матеріалізуватися.

ПРОФЕСІЯ, ЩО ВСЕ ЩЕ БУДУЄ СВОЇ МОЖЛИВОСТІ
Було б неповним представити цей ландшафт без визнання його поточних обмежень. Інфраструктура для забезпечення гарантій ШІ все ще будується. Професійні стандарти з'являються. Компетенції аудиторів у сфері ШІ, що охоплюють машинне навчання, алгоритмічне упередження, управління даними та прозорість моделей, ще не розроблені однаково в усій професії. ISAE 3000 надає структуру забезпечення гарантій, але специфічні для ШІ методології, які знаходяться в ній, все ще розвиваються.

Для організацій, які ще не готові досягти формального забезпечення гарантій, це не причина залишатися на місці. Структурована, регулярна оцінка матеріальних систем ШІ є значущим і практичним першим кроком. Вона вибудовує внутрішню дисципліну, документацію та звички управління, які врешті-решт вимагає готовність до забезпечення гарантій. Ради директорів, які замовляють такі оцінки сьогодні, навіть неофіційно, розвивають інституційний потенціал, який матиме значення, коли регуляторні очікування посиляться, а контроль зацікавлених сторін посилиться.

Цей погляд є одним із тих, які я досліджувала глибше в дослідженні, яке я розробляю разом із колегами, що вивчають управління генеративним ШІ в економіках, де регулювання ще не встигло за технологією. Центральний аргумент полягає в тому, що фірми вже є моральними агентами з існуючими етичними зобов'язаннями перед своїми зацікавленими сторонами; очікування спеціального законодавства про ШІ не є ані необхідним, ані достатнім для відповідального управління. Зобов'язання діяти вже існує. Що потрібно — це організаційна воля для його операціоналізації.

Це не причина для рад директорів чекати більш широкого порядку денного. Це причина задавати обґрунтовані питання зараз своїм зовнішнім аудиторам, своїм функціям внутрішнього аудиту та своїм управлінським командам, щоб, коли можливості професії наздожать попит, їхні організації були готові значуще взаємодіяти.

Фінансовий аудит не з'явився повністю сформованим. Знадобилися десятиліття встановлення стандартів, професійного розвитку та важких уроків корпоративних невдач, щоб незалежний аудит став тією надійною установою, якою він є сьогодні. Забезпечення гарантій ШІ знаходиться в порівнянній ранній точці перегину. Ради директорів, які займаються цим зараз, ставлять гостріші питання своїм аудиторам, вимагають більше, ніж твердження керівництва, і будують внутрішні можливості до того, як регулятори вимагатимуть від них цього, не тільки зменшать власну вразливість. Вони допоможуть сформувати те, як виглядає відповідальна підзвітність ШІ для філіппінських організацій та ширшого регіону.

Еріка Філл Т. Легара — фізик, освітянка та практик у сфері науки про дані та ШІ, що працює в державному, академічному та промисловому секторах. Вона є першим керівним директором і головним офіцером з питань ШІ та даних Освітнього центру досліджень ШІ, а також доцентом і головою Aboitiz з науки про дані в Азійському інституті менеджменту, де вона заснувала та очолювала першу в країні програму магістра з науки про дані з 2017 по 2024 рік. Вона працює в корпоративних радах директорів, є членом Інституту корпоративних директорів, сертифікованим професіоналом з управління ШІ IAPP та співзасновницею CorteX Innovations.