Blogi | Technologie i innowacje

Jak rozumiemy AI Governance?

Michał Nowakowski | BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Jak rozumiemy AI Governance?
Michał Nowakowski. Źródło: BANK.pl
Wygląda na to, że przyjąłem błędne założenia promując podejście oparte na tworzeniu pewnych ram dla projektów AI zanim w ogóle zaczniemy te projekty bardziej poważnie traktować i realizować. W moim odczuciu było to dość oczywiste, że AI Governance przede wszystkim jest nakierowane na REALIZOWANIE CELÓW BIZNESOWYCH. Tymczasem krótka ankieta (niestety z małym "response rate") pokazała, że patrzycie na to inaczej. Jak?, pisze Michał Nowakowski.

Przytłaczająca większość odpowiedzi sprowadza się do rozumienia AI Governance przez pryzmat jakiejś formy bezpieczeństwa – czy to regulacyjnego, czy bezpieczeństwa informacji – ochrony danych.

Jako przyśpieszenie biznesu widzi to zaledwie garstka respondentów. I choć rzeczywiście takie ramy pomagają nam lepiej zarządzać ryzykiem (w zasadzie jest ono w centrum), to jednak moje rozumienie jest nieco inne. Co oczywiście nie oznacza, że moje jest lepsze. Moje jest po prostu mojsze niż twojsze (dla niezorientowanych)

Jeżeli spojrzymy np. do ISO 42001, które jest przecież złotym standardem w zakresie zarządzania AI, to wyraźnie dostrzeżemy, że AI Governance ma wspierać cele biznesowe organizacji. Ba, ma się dobrze wpisywać w procesy biznesowe i je „dopalać.

Możecie zadać pytanie – ale jak to? Jezu, naprawdę? Serio. I to na wielu poziomach. Tej najbardziej oczywisty aspekt dotyczy zarządzania ryzykiem inicjatyw AI & Data i nie oznacza wyłącznie wprowadzania mechanizmów kontrolnych. Dobrze ułożony proces realizacji inicjatyw zakłada tzw. early risk check, czyli sprawdzenie najbardziej ewidentnych ryzyk jeszcze na etapie ideacji – myślenia o rozwiązaniu.

Pozwala to nam bardzo szybko odrzucić te inicjatywy, których po prostu nie zrealizujemy ze względu na profil i apetyt ryzyka, który funkcjonuje w naszej organizacji lub co najmniej szybko zaopiekować się tymi ryzykami, które są potencjalnym blokerem, ale jeszcze nie przeszkodą nie do pokonania. Niektóre inicjatywy mogą trafić np. do komitetu ryzyka czy ds. AI i przejść dodatkową ścieżkę decyzyjną.

No właśnie, ścieżka decyzyjna.

Ta zazwyczaj jest dużym ograniczeniem i przyczyną wielu frustracji biznesu. Uzyskanie wszystkich zgód, opinii czy „checków” to prawdziwe utrapienie i sprawa jest jeszcze gorsza, jeżeli zwyczajnie nie wiemy jak wygląda przebieg procesu i DO KOGO i w JAKIEJ SPRAWIE mamy się zgłosić, żeby pójść do przodu.

A często ta wiedza jest wiedzą tajemną i do tego porozrzucaną po organizacji. Ten wie to, tamta wie tamto i tak dalej…

Tymczasem już na poziomie polityki AI Governance zaczynamy kształtować uspójnione, zrozumiałe i przejrzyste podejście do inicjatyw AI. Norma ISO 42001 wprost „nakazuje” nam odniesienie się do wielu aspektów organizacyjnych naszej firmy. Obliguje nas wręcz do uporządkowania procesów, stworzenia odpowiednich ram odpowiedzialności i zapewnienia płynnego „odhaczania” konkretnych punktów na liście.

I dlatego centralnym punktem AI Governance jest skrojony na miarę proces realizacji inicjatyw, w którym przypisujemy poszczególnym jednostkom/funkcjom określone zadania, które wykonywane powinny być w określonej kolejności.

Oczywistym jednak jest, że jeżeli nie będzie kogoś kto będzie sprawował nad tym pieczę, to wszystko się rozpłynie i rozleje po kilku „razach”, jak to w przypadku procesów nie poddanych odpowiedniemu monitorowaniu i kontroli. No, ale jeżeli wyznaczymy np. AI Stewarda/Koordynatorów czy Liderów pod procesy AI, to sytuacja może ulec istotnej zmianie.

Rzecz jasne będzie to możliwe tylko wtedy, gdy w jakiś sposób sformalizujemy te procesy i odpowiedzialność za nie.

Założeniem AI Governance nie jest blokowanie inicjatyw, ale zapewnienie, że będą one z jednej strony dla nas bezpieczne, a z drugiej nie wyhamują nam biznesu. Nie jest przesadą twierdzenie, że jeżeli dzisiaj w świecie chaosu realizacja projektów trwa 6-8 miesięcy, to przy odpowiednim podejściu i operacjonalizacji możemy ten proces skrócić o kilka miesięcy.

Oczywiście jestem realistą i mam świadomość, że to składowa wielu czynników (w tym obciążenia zespołów), ale chyba zgadzamy się co do tego, że porządek w miejsce chaosu pozwala zdziałać cuda.

Coś o czym zapominamy skupiając się na obszarze zgodności…

… to fakt, że również przepisy mogą nas „zmuszać” do bardziej biznesowej perspektywy. W AI Act znajdziemy artykuł 17 odnoszący się do systemu zarządzania jakością, który de facto nakłada na nas obowiązek uporządkowania podejścia do inicjatyw (rzecz jasna tych dla wysokiego ryzyka i dostawcy, ale można patrzeć na to szerzej), co jest też „wymogiem” ISO 42001. Zapisano tam także ważną zasadę proporcjonalności.

Ale np. taka DORA (rozporządzenie ws. ryzyk ICT dla sektora finansowego) wprost wymaga:

to nie jest jedyny przykład. Jest tego zdecydowanie więcej, a przecież zarządzanie ryzykiem ICT jest mocnym punktem również dla projektów AI. Pomijając, że często usługi związane z AI podlegają bezpośrednio DORA.

Tu właśnie de facto łączymy cele biznesowe z potrzebą zapewnienia zgodności i ochroną informacji. Jedno bez drugiego nie istnieje, ale tylko jeżeli będziemy mieli do siebie…

zaufanie, to będziemy mogli lepiej te cele biznesowe i zawodowe realizować. Dlatego budowanie AI Governance powinno być traktowane nie w oderwaniu, ale w ścisłym związku z:

  • budowaniem bezpiecznych rozwiązań oraz
  • ich użytecznością dla biznesu, który prowadzimy.

Przekonanie naszych interesariuszy nie będzie łatwe, ale wybranie drogi łączącej biznes i aspekty bezpieczeństwa może przynieść nam znacznie lepsze rezultaty niż skupianie się wyłącznie na nielubianej i zazwyczaj interpretowanej wyłącznie kosztowo – perspektywie zgodnościowej i bezpiecznikowskiej.

To jest zresztą jedno z zadań, które realizuję z klientami zanim przystąpimy do działania. Musimy upewnić się, że mamy odpowiednie wsparcie sponsora. Bez tego nasz projekt skończy na półce z niezrealizowanymi marzeniami. No, co najmniej założeniami.

Szukacie w tym zakresie wsparcia? Porozmawiajmy. Zaczniemy od:

  • dobrej diagnozy stanu obecnego,
  • wyboru właściwej ścieżki, bo „cały” AI Governance może być za duży,
  • zebrania niezbędnych danych oraz interesariuszy i wyznaczenia CELÓW!

Dopiero potem zabierzemy się do właściwej roboty. Brzmi interesująco? No to do dzieła!

Michał Nowakowski
Michał Nowakowski – doktor nauk prawnych i radca prawny z 13-letnim doświadczeniem w obszarze innowacji finansowych oraz nowych technologii. Specjalizuje się w zagadnieniach związanych z wdrażaniem przepisów i regulacji dotyczących danych, AI oraz budowaniu w organizacjach rozwiązań data governance i data management. Pracował zarówno w sektorze publicznym, jak i prywatnym, gdzie zdobywał doświadczenie przy realizacji projektów uwzględniających szeroko rozumiane ryzyka ICT oraz outsourcing i ochronę prywatności. Był związany także z instytucjami finansowymi, w tym z bankami, gdzie doradzał m.in. zespołom R&D, bezpieczeństwa oraz IT. Autor książek, artykułów naukowych i prelegent na konferencjach i wydarzeniach branżowych. Prywatnie miłośnik kodowania i ML. Współzałożyciel i prezes zarządu spółki GovernedAI, zajmującej się tworzeniem i wdrażaniem bezpiecznego oprogramowania wykorzystującego systemy uczenia maszynowego i głębokiego, w tym tzw. generatywną sztuczną inteligencję. Profil na linkedin: https://www.linkedin.com/in/mjnowakowski/?originalSubdomain=pl
Źródło: BANK.pl