Sprievodca rizikami a kontrolami AI od KPMG

Táto štatistika možno pochádza z minulého roka, no dnes je aktuálna viac než kedykoľvek predtým. Podľa KPMG’s 2024 U.S. CEO Outlook až 68 % generálnych riaditeľov označilo AI za investičnú prioritu číslo jeden. Očakávajú od nej zvýšenie efektivity, rozvoj zručností zamestnancov a podporu inovácií naprieč celou organizáciou.

To je veľký prejav dôvery v AI – no zároveň vyvoláva dôležitú otázku: ak je toľko v stávke, ako môžu organizácie zabezpečiť, že využívajú AI zodpovedne a eticky?

Práve tu vstupuje do hry Sprievodca rizikami a kontrolami AI od KPMG. Ponúka jasný, praktický rámec, ktorý firmám umožňuje ťažiť z potenciálu AI a zároveň riadiť reálne riziká, ktoré AI prináša. V dnešnom prostredí je budovanie dôveryhodnej AI nielen dobrou praxou – je to obchodná nevyhnutnosť.

Umelá inteligencia (AI) mení celé odvetvia, prináša nové úrovne efektivity, inovácií a konkurencieschopnosti. Spolu s touto transformáciou však prichádza aj súbor rizík a etických výziev, ktoré musia organizácie starostlivo riadiť, aby si udržali dôveru a zabezpečili zodpovedné využívanie. Sprievodca rizikami a kontrolami AI od KPMG je navrhnutý tak, aby organizáciám pomáhal orientovať sa v týchto zložitostiach a poskytoval praktický, štruktúrovaný a hodnotovo orientovaný prístup k správe AI.

V súlade s Dôveryhodným AI rámcom KPMG sprievodca pomáha firmám vyvíjať a nasadzovať AI riešenia, ktoré sú etické, zamerané na človeka a v súlade s globálnymi regulačnými štandardmi. Je rozdelený na 10 základných pilierov, z ktorých každý rieši kľúčový aspekt riadenia rizík AI:

1. Zodpovednosť: Jasné určenie zodpovednosti za výsledky AI.
2. Spravodlivosť: Znižovanie zaujatosti a podpora spravodlivých výsledkov.
3. Transparentnosť: Pochopiteľnosť a viditeľnosť AI procesov.
4. Vysvetliteľnosť: Zrozumiteľné dôvody rozhodnutí AI.
5. Integrita dát: Zabezpečenie kvalitných a spoľahlivých dát.
6. Spoľahlivosť: Konzistentný a presný výkon.
7. Bezpečnosť: Ochrana AI systémov pred hrozbami a zraniteľnosťami.
8. Bezpečie: Návrh systémov na predchádzanie škodám a zmiernenie rizík.
9. Súkromie: Ochrana osobných a citlivých údajov.
10. Udržateľnosť: Minimalizácia environmentálneho dopadu AI systémov.

Zameraním sa na tieto piliere môžu organizácie začleniť etické princípy do všetkých fáz životného cyklu AI – od stratégie a vývoja až po nasadenie a monitoring. Tento sprievodca nielen zvyšuje odolnosť voči rizikám, ale zároveň podporuje inovácie, ktoré sú udržateľné, dôveryhodné a v súlade so spoločenskými očakávaniami.

Či už ste odborník na riziká, výkonný líder, dátový vedec alebo právny poradca, tento sprievodca ponúka nevyhnutné nástroje a poznatky na zodpovedné využívanie potenciálu AI.

Účel sprievodcu

Riešenie jedinečných výziev AI

Sprievodca rizikami a kontrolami AI od KPMG slúži ako špecializovaný zdroj na pomoc organizáciám pri riadení konkrétnych rizík spojených s umelou inteligenciou (AI). Uznáva, že AI síce ponúka významný potenciál, no jej zložitosť a etické otázky si vyžadujú cielený prístup k riadeniu rizík. Sprievodca poskytuje štruktúrovaný rámec na zodpovedné a efektívne zvládnutie týchto výziev.

Integrácia do existujúcich rámcov

Sprievodca nemá nahradiť súčasné systémy, ale má dopĺňať existujúce procesy riadenia rizík. Jeho hlavným cieľom je zahrnúť špecifické aspekty AI do štruktúr správy organizácie, aby bol zaistený hladký súlad s aktuálnymi prevádzkovými praktikami. Takto môžu organizácie posilniť svoje schopnosti v oblasti riadenia rizík bez nutnosti úplne prepracovať svoje rámce.

Súlad s dôveryhodnými štandardmi

Sprievodca je postavený na Dôveryhodnom AI rámci KPMG, ktorý podporuje hodnotovo orientovaný a na človeka zameraný prístup k AI. Integruje princípy z uznávaných noriem, vrátane ISO 42001, NIST AI Risk Management Framework a nariadenia EU AI Act. To zaručuje, že sprievodca je praktický a v súlade s globálne uznávanými osvedčenými postupmi a regulačnými požiadavkami na správu AI.

Nástroj s praktickými odporúčaniami

Sprievodca poskytuje konkrétne odporúčania a praktické príklady prispôsobené na riešenie rizík súvisiacich s AI. Povzbudzuje organizácie, aby tieto príklady prispôsobili svojmu prostrediu, pričom zohľadňuje faktory ako to, či AI systémy vyvíjajú interne alebo ich získavajú od dodávateľov, ako aj typy používaných dát a techník. Táto prispôsobivosť zabezpečuje, že sprievodca je relevantný pre rôzne odvetvia i aplikácie AI.

Podpora etického a transparentného nasadzovania AI

Sprievodca kladie dôraz na to, aby organizácie nasadzovali AI technológie bezpečne, eticky a transparentne. Riešením technických, prevádzkových a etických aspektov rizík AI pomáha budovať dôveru medzi zainteresovanými stranami a zároveň využíva transformačný potenciál AI.

Sprievodca slúži ako zdroj na zabezpečenie toho, aby AI systémy boli v súlade s obchodnými cieľmi a zároveň zmierňovali potenciálne riziká. Podporuje inovácie spôsobom, ktorý kladie dôraz na zodpovednosť a zodpovedné konanie.

Kto by mal tento sprievodca používať?

Kľúčové zainteresované strany v správe AI

Sprievodca správou AI od KPMG je určený pre profesionálov, ktorí riadia implementáciu AI a zabezpečujú jej bezpečné, etické a efektívne nasadenie. Je určený tímom naprieč rôznymi oblasťami organizácií, vrátane:

• Oddelenia rizík a súladu: Profesionáli v týchto tímoch môžu zosúladiť správu AI s existujúcimi rámcami riadenia rizík a regulačných požiadaviek.
• Špecialisti na kybernetickú bezpečnosť: S rastúcim rizikom útokov na AI môžu tímy kybernetickej bezpečnosti využiť sprievodcu na zavedenie silných bezpečnostných opatrení.
• Tímy pre ochranu osobných údajov: Sprievodca poskytuje nástroje na zodpovedné riadenie citlivých údajov a riešenie požiadaviek súvisiacich so súladom.
• Právne a regulačné tímy: Právnici sa môžu spoľahnúť na súlad sprievodcu s globálnymi rámcami ako GDPR, ISO 42001 či nariadenie EU AI Act na zabezpečenie súladu AI systémov s legislatívou.
• Interní audítori: Audítori môžu využiť sprievodcu na hodnotenie, či AI systémy efektívne spĺňajú etické a prevádzkové štandardy.

Vedúci pracovníci a strategickí rozhodovatelia

Manažéri na úrovni C-suite a seniori, ako CEOs, CIOs a CTOs, nájdu v sprievodcovi podporu pri riadení AI ako strategickej priority. Podľa KPMG’s 2024 US CEO Outlook považuje 68 % CEO AI za kľúčovú investičnú oblasť. Sprievodca umožňuje vedeniu zosúladiť AI stratégiu s cieľmi organizácie a zároveň riešiť pridružené riziká.

Vývojári a inžinieri AI

Softvéroví inžinieri, dátoví vedci a ďalší zodpovední za tvorbu a nasadenie AI riešení môžu sprievodcu využiť na začlenenie etických princípov a robustných kontrol priamo do svojich systémov. Zameriava sa na prispôsobenie riadenia rizík špecifickej architektúre a dátovým tokom AI modelov.

Organizácie všetkých veľkostí a sektorov

Sprievodca je prispôsobiteľný pre firmy, ktoré AI vyvíjajú interne, získavajú od dodávateľov alebo používajú vlastné dátové sady. Je obzvlášť relevantný pre odvetvia ako financie, zdravotníctvo či technológie, kde sú pokročilé AI aplikácie a citlivé údaje kľúčové pre prevádzku.

Prečo je tento sprievodca dôležitý

Nasadzovanie AI bez jasného rámca správy môže viesť k finančným, regulačným i reputačným rizikám. Sprievodca KPMG funguje s existujúcimi procesmi a ponúka štruktúrovaný, etický prístup k riadeniu AI. Podporuje zodpovednosť, transparentnosť a etické postupy, vďaka čomu môžu organizácie AI využívať zodpovedne a súčasne naplno využiť jej potenciál.

Ako začať pracovať so sprievodcom

Zaradenie rizík AI do existujúcej taxonómie rizík

Organizácie by mali začať prepojením špecifických rizík AI so svojou aktuálnou taxonómiou rizík. Taxonómia rizík je štruktúrovaný rámec na identifikáciu, organizáciu a riešenie potenciálnych zraniteľností. Keďže AI prináša nové výzvy, tradičné taxonómie je potrebné rozšíriť o AI špecifické faktory. Tie môžu zahŕňať presnosť dátových tokov, logiku algoritmov či spoľahlivosť zdrojov dát. Takto sa riziká AI stávajú súčasťou celkovej správy rizík organizácie, nie sú riešené oddelene.

Sprievodca zdôrazňuje potrebu hodnotiť celý životný cyklus AI systémov. Dôležité je analyzovať pôvod dát, ich pohyb v procesoch a základnú logiku AI modelu. Tento komplexný pohľad pomáha identifikovať potenciálne zraniteľnosti počas vývoja aj využívania AI.

Prispôsobenie kontrol potrebám organizácie

AI systémy sa líšia podľa účelu, spôsobu vývoja či typu používaných dát. To, či je model vyvinutý interne alebo získaný od externého dodávateľa, zásadne ovplyvňuje súvisiace riziká. Rovnako typ dát – vlastné, verejné alebo citlivé – a použité techniky si vyžadujú špecifické stratégie riadenia rizík.

Sprievodca odporúča prispôsobiť kontrolné opatrenia konkrétnym potrebám vašich AI systémov. Ak napríklad využívate vlastné dáta, možno budete potrebovať prísnejšie prístupové práva. Pri využívaní AI riešenia od dodávateľa je vhodné realizovať detailné hodnotenie rizík tretích strán. Prispôsobením kontrol môžete efektívnejšie zvládnuť špecifické výzvy vašich AI systémov.

Začlenenie riadenia rizík do celého životného cyklu AI

Sprievodca odporúča implementovať riadenie rizík do každej fázy životného cyklu AI. To zahŕňa plánovanie rizík už vo fáze návrhu, zavedenie silných monitorovacích systémov pri nasadení, ako aj pravidelnú aktualizáciu hodnotení rizík podľa vývoja systému. Riešením rizík v každom kroku znižujete zraniteľnosti a zabezpečujete, že vaše AI systémy sú etické aj spoľahlivé.

Prvé kroky – zaradenie rizík AI do existujúcej taxonómie a prispôsobenie kontrol podľa potrieb – pomáhajú položiť pevnú základňu pre dôveryhodnú AI. Tieto opatrenia umožňujú organizáciám systematicky identifikovať, hodnotiť a riadiť riziká a budovať silný rámec správy AI.

10 pilierov dôveryhodnej AI

Dôveryhodný AI rámec KPMG stojí na desiatich pilieroch, ktoré riešia etické, technické a prevádzkové výzvy umelej inteligencie. Tieto piliere sprevádzajú organizácie pri navrhovaní, vývoji a nasadzovaní AI systémov zodpovedne, čím zabezpečujú dôveru a zodpovednosť počas celého životného cyklu AI.

Zodpovednosť

Ľudský dohľad a zodpovednosť by mali byť súčasťou každej fázy životného cyklu AI. Znamená to určiť, kto je zodpovedný za riadenie rizík AI, zabezpečiť súlad so zákonmi a normami a udržať možnosť zasiahnuť, prepísať alebo zvrátiť rozhodnutia AI v prípade potreby.

Spravodlivosť

AI systémy by mali minimalizovať alebo odstrániť zaujatosti, ktoré by mohli negatívne ovplyvniť jednotlivcov, komunity alebo skupiny. To zahŕňa dôkladnú analýzu dát, či reprezentujú rôznorodú populáciu, uplatňovanie opatrení na spravodlivosť počas vývoja a priebežné monitorovanie výstupov na podporu rovnakého zaobchádzania.

Transparentnosť

Transparentnosť si vyžaduje otvorené zdieľanie informácií o fungovaní AI systémov a dôvodoch ich rozhodnutí. Patrí sem dokumentácia obmedzení systému, výsledkov výkonu a testovacích metód. Používatelia by mali byť informovaní, keď sú ich údaje zbierané, AI-generovaný obsah má byť jasne označený a citlivé aplikácie, ako je biometrická kategorizácia, musia poskytovať používateľom jasné oznámenia.

Vysvetliteľnosť

AI systémy musia poskytovať zrozumiteľné dôvody svojich rozhodnutí. Organizácie by mali detailne dokumentovať dátové sady, algoritmy a metriky výkonnosti, aby zainteresovaní mohli analyzovať a reprodukovať výsledky.

Integrita dát

Kvalita a spoľahlivosť dát počas celého životného cyklu – zber, označovanie, ukladanie a analýza – sú zásadné. Je potrebné zaviesť kontroly na zvládanie rizík, ako je poškodenie alebo zaujatosti dát. Pravidelné kontroly kvality a regresné testy pri aktualizáciách systému pomáhajú udržiavať presnosť a spoľahlivosť AI systémov.

Súkromie

AI riešenia musia dodržiavať zákony o ochrane súkromia a údajov. Organizácie musia správne vybavovať žiadosti dotknutých osôb, vykonávať hodnotenia vplyvu na súkromie a využívať pokročilé metódy ako diferenciálne súkromie na vyváženie využitia údajov so zachovaním ochrany súkromia jednotlivcov.

Spoľahlivosť

AI systémy by mali konzistentne dosahovať zamýšľaný účel a požadovanú presnosť. To si vyžaduje dôkladné testovanie, mechanizmy na detekciu anomálií a nepretržité spätné väzby na validáciu výstupov systému.

Bezpečie

Bezpečnostné opatrenia chránia AI systémy pred spôsobením škody jednotlivcom, firmám či majetku. Patrí sem návrh záložných riešení, monitoring problémov ako poškodenie dát alebo injekčné útoky a zaistenie súladu so štandardmi.

Bezpečnosť

Silné bezpečnostné praktiky sú nevyhnutné na ochranu AI systémov pred hrozbami a škodlivými aktivitami. Organizácie by mali pravidelne vykonávať audity, hodnotiť zraniteľnosti a používať šifrovanie na ochranu citlivých dát.

Udržateľnosť

AI systémy by mali byť navrhnuté tak, aby minimalizovali spotrebu energie a podporovali environmentálne ciele. Udržateľnosť je potrebné riešiť už od návrhu, s priebežným monitorovaním spotreby energie, efektivity a emisií počas celého životného cyklu AI.

Dodržiavaním týchto desiatich pilierov môžu organizácie vytvárať AI systémy, ktoré sú etické, dôveryhodné a v súlade so spoločenskými očakávaniami. Tento rámec poskytuje jasnú štruktúru pre zvládanie AI výziev a zároveň podporuje zodpovedné inovácie.

Kľúčové riziká a kontroly – Integrita dát

Integrita dát v AI systémoch

Integrita dát je kľúčová pre zabezpečenie presnosti, spravodlivosti a spoľahlivosti AI systémov. Zlé riadenie dát môže viesť k rizikám, ako je zaujatosti, nepresnosť a nespoľahlivé výsledky. Tieto problémy môžu podkopať dôveru vo výstupy AI a viesť k vážnym prevádzkovým a reputačným komplikáciám. Dôveryhodný AI rámec KPMG zdôrazňuje potrebu udržiavať vysokú kvalitu dát počas celého ich životného cyklu, aby AI systémy fungovali efektívne a spĺňali etické štandardy.

Kľúčové riziká integrity dát

Nedostatok správy dát

Bez silnej správy dát môžu AI systémy produkovať chybné výsledky. Problémy ako neúplné, nepresné alebo nerelevantné dáta môžu viesť k zaujatým či nespoľahlivým výstupom, čo zvyšuje riziká naprieč rôznymi AI aplikáciami.

Poškodenie dát pri prenose

Dáta sa často presúvajú medzi systémami na účely tréningu, testovania alebo prevádzky. Ak tieto prenosy nie sú správne riadené, dáta sa môžu poškodiť, stratiť alebo znehodnotiť. To môže ovplyvniť výkonnosť AI systémov.

Kontrolné opatrenia na zníženie rizík

Tvorba komplexných politík správy dát

Pre lepšiu správu dát môžu organizácie:

• Vytvoriť a vymáhať politiky pre zber, ukladanie, označovanie a analýzu dát.
• Zaviesť procesy riadenia životného cyklu na udržiavanie presnosti, úplnosti a relevancie dát.
• Pravidelne vykonávať kontroly kvality na rýchlu identifikáciu a odstránenie problémov.

Ochrana dátových prenosov

Na minimalizáciu rizík pri prenose dát by organizácie mali:

• Používať bezpečné protokoly na zabránenie poškodeniu alebo strate dát.
• Pravidelne kontrolovať tréningové a testovacie dátové sady, najmä pri aktualizáciách systému, aby zostali dostatočné a relevantné. To zahŕňa aj pridávanie nových dát na udržanie výkonu systému.

Priebežné monitorovanie a validácia

Používanie systémov na nepretržité monitorovanie pomáha udržiavať integritu dát počas celého životného cyklu AI. Tieto systémy dokážu odhaliť problémy ako nečakané zmeny v kvalite dát alebo nekonzistentné zaobchádzanie s dátami. To umožňuje rýchlu nápravu, keď sa vyskytnú problémy.

Záver

Udržiavanie integrity dát je základom nasadzovania dôveryhodných AI systémov. Organizácie môžu znížiť riziká zavedením silných rámcov správy, ochranou interakcií s dátami a nepretržitou validáciou. Tieto opatrenia zvyšujú spoľahlivosť výstupov AI a zároveň zabezpečujú splnenie etických a prevádzkových štandardov, čím pomáhajú budovať dôveru v AI technológie.

Kľúčové riziká a kontroly – Súkromie

Súkromie prístupu dotknutých osôb k údajom

Riešenie požiadaviek súvisiacich s prístupom dotknutých osôb k údajom je významnou výzvou v oblasti súkromia AI. Organizácie musia zabezpečiť, aby jednotlivci mohli uplatniť svoje právo na prístup, opravu alebo vymazanie osobných údajov podľa zákonov ako GDPR a CCPA. Ak tieto požiadavky nie sú správne vybavené, môže to viesť k porušeniu predpisov, strate dôvery spotrebiteľov a poškodeniu reputácie organizácie.

Na zníženie tohto rizika by mali firmy vytvárať programy na vzdelávanie jednotlivcov o ich právach pri interakcii s AI. Systémy musia byť nastavené tak, aby tieto požiadavky spracovávali rýchlo a transparentne. Organizácie by tiež mali viesť podrobné záznamy o tom, ako požiadavky vybavujú, aby počas auditov mohli preukázať súlad.

Porušenia súkromia pri úniku dát

AI systémy často spracúvajú citlivé osobné údaje, čo z nich robí lákavý cieľ pre kybernetické útoky. Ak dôjde k úniku, môže to viesť k vysokým pokutám, poškodeniu povesti spoločnosti a strate dôvery zákazníkov.

Na boj proti tomu Dôveryhodný AI rámec KPMG odporúča etické posúdenia AI systémov využívajúcich osobné údaje na zabezpečenie ich súladu s predpismi o ochrane súkromia. Nevyhnutné sú pravidelné audity ochrany údajov a hodnotenia vplyvu na súkromie (PIA), najmä ak sa citlivé údaje používajú na tréning AI modelov. Metódy ako diferenciálne súkromie, ktoré do dát pridávajú štatistický šum, dokážu anonymizovať informácie a zároveň umožňujú ich analýzu.

Absencia súkromia už pri návrhu

AI systémy, ktoré nemajú v sebe zabudované opatrenia na ochranu súkromia už od začiatku, môžu spôsobovať vážne problémy. Ak organizácie neuplatňujú zásady „privacy by design“, riskujú odhalenie citlivých údajov či nesúlad so zákonnými požiadavkami.

Firmy by mali zahrnúť opatrenia na ochranu súkromia už vo fáze vývoja AI systémov. To zahŕňa dodržiavanie zákonov a predpisov prostredníctvom dobrej správy dát. Kľúčová je jasná dokumentácia zberu, použitia a uchovávania údajov. Organizácie musia tiež získať výslovný súhlas používateľov na zber a spracovanie údajov, najmä v citlivých oblastiach, ako sú biometrické údaje.

Transparentnosť v interakcii s používateľmi

Ak AI systémy jasne nevysvetľujú, ako nakladajú s údajmi používateľov, môže to viesť k nedôvere a právnej kontrole. Používatelia by mali vedieť, kedy sú ich údaje zbierané a ako sa využívajú