O zarządzaniu ryzykiem przy tworzeniu fintechu opartego o sztuczną inteligencję i dane
W przypadku instytucji finansowej, niezależnie czy mowa o banku, krajowej instytucji płatniczej czy firmie inwestycyjnej, posiadanie ram do zarządzania ryzykiem jest czymś absolutnie podstawowym i badanym już na etapie uzyskiwania rejestracji czy zezwolenia.
Oczywiście matryca ryzyk i sposób zarządzania nimi będzie ewoluował wraz z działalnością operacyjną, ale pewne podstawowe zasady należy określić już na tak wczesnym etapie. W przypadku instytucji, która zamierza wykorzystywać dane i przetwarzać je z udziałem systemów sztucznej inteligencji refleksja nad tym zagadnieniem powinna pojawić się nawet wcześniej – na etapie koncepcyjnym.
Zarządzanie ryzykiem? O co chodzi?
Zacznijmy jednak od podstaw, tj. określenia czym w ogóle jest system zarządzania ryzykiem. Punktem wyjścia niech będzie dla nas art. 64a ustawy o usługach płatniczych, który określa pewne minimalne wymogi w zakresie systemu zarządzania ryzykiem i kontroli wewnętrznej dla Krajowych Instytucji Płatniczych.
Choć pamiętać tutaj należy, że zawsze obowiązuje nas zasada proporcjonalności, która może wiązać się z rozszerzeniem lub zawężeniem wymogów, nie tylko w obrębie samych KIP i ich modeli biznesowych, ale i innych podmiotów. Tak czy inaczej można wskazać na pewne minimalne wymogi w tym zakresie.
Zasadniczo system zarządzania ryzykiem powinien składać się zarówno z rozwiązań organizacyjnych, technicznych, jak i proceduralnych. Ważne są też kwestie odpowiedniego ułożenia procesów, ale do tego potrzeba przede wszystkim dobrej struktury, określenia zasad komunikacji i odpowiedzialności. Bez formalizmów niestety się nie obejdzie.
W ramach systemu powinniśmy jasno określić także zasady zarządzania ryzykiem, w tym zasady szacowania ryzyka, procedury identyfikacji ryzyka i jego pomiaru czy odpowiednie procedury ograniczania ryzyka. Systemy, które wykorzystujemy do zarządzania ryzykami powinny być skorelowane z odpowiednimi rozwiązaniami w zakresie raportowania (incydentów) oraz działaniami naprawczymi.
To w pewnym uproszczeniu, ale dzisiaj nie będę zajmował się szczegółami samego zarządzania ryzykami dla #fintech, ale ryzykami charakterystycznymi dla organizacji intensywnie wykorzystującej dane i systemy AI.
Czytaj także: Bankowość i Finanse | Technologie – Bezpieczeństwo | Technologie przydatne w nowym roku
Ryzyko AI?
Szczególnym (szczególnie ważnym) typem ryzyka operacyjnego jest ryzyko IT, które generuje się poprzez wykorzystywane rozwiązania cyfrowe oraz infrastrukturę, którą dana instytucja wykorzystuje. Mają one zróżnicowany charakter, ale łączy je jedno – technologia.
Na pierwszy rzut oka wydaje się, że w przypadku systemów sztucznej inteligencji nie będzie żadnych odrębności i ryzyka z nimi związane możemy wrzucić do jednego worka właśnie z ryzykami IT. Okazuje się jednak, że sprawa w tym przypadku nie jest tak oczywista.
Systemy sztucznej inteligencji rzeczywiście wiążą się z ryzykami, które znajdziemy w przypadku innych rozwiązań IT, bo w końcu to nic innego jak rodzaj zaawansowanego oprogramowania. W praktyce jednak ze względu na swoją specyfikę, a więc:
1. Uczenie się w czasie (także rzeczywistym);
2. Intensywne wykorzystanie danych oraz
3. Mocno (lub całkowicie) zautomatyzowany charakter i niewielki (potencjalnie) udział człowieka oraz
4. Rezultat działania, który ma bezpośrednie przełożenie na człowieka –
ryzyka związane z tymi systemami będą szersze.
Obejmować będą więc takie kwestie jak ryzyko dostępności danych, ryzyko jakości danych, ryzyko biasu (stronniczości i skrzywienia) algorytmicznego, ryzyko (nie)wyjaśnialności i (nie)audytowalności, ryzyko braku kompetencji (to adresowane do człowieka) czy ryzyko naruszenia prywatności, a także ryzyka związane z niewłaściwym nadzorem ze strony człowieka.
W rzeczywistości lista może (i zazwyczaj jest) być znacznie dłuższa, a wiele zależy od tego, jak wygląda nasz model wykorzystania takich systemów. Istotne jest tutaj to, że to sama instytucja powinna przyjrzeć się stosowanym rozwiązaniom i ocenić jakie ryzyka mogą one generować.
Czytaj także: Jak sztuczna inteligencja napędza rozwój Indii – raport ISI Emerging Markets Group
Nowe obowiązki?
W niedługiej przyszłości, gdy uchwalone zostaną przepisy projektowanego rozporządzenia w sprawie systemów sztucznej inteligencji (AI Act), pętla związana z zarządzaniem ryzykami AI & data będzie się zacieśniać.
Dzisiaj nie będę szczegółowo opisywać wymogów określonych w art. 9, ale warto pamiętać, że nie zawsze nasze systemy będą kompatybilne z nowymi (starymi) ryzykami.
Szczególnie, jeżeli rzeczywiście będziemy chcieli stać się organizacją typu #datadriven, która zakłada, że po stronie właścicieli danych oraz systemów pojawić się muszą dodatkowe obowiązki w zakresie m.in. zapewnienia jakości danych. Dodatkowo zmieniać się będą różne obowiązki raportowe, np. w zakresie incydentów, a środki do eliminacji ryzyk lub ograniczenia ich skutków będą musiały być dostosowane do dynamicznego i „żywiołowego” charakteru takich systemów AI.
Dlatego już dzisiaj warto zastanowić się nad mapowaniem procesów związanych z danymi oraz inwentaryzacją systemów, które mogą generować ryzyka charakterystyczne dla AI.
Tym bardziej, że i tak większość instytucji będzie wykonywać analogiczne ćwiczenie w kontekście zbliżających się wymogów wynikających z DORA, czyli rozporządzenia w sprawie cyfrowej odporności operacyjnej.
Zresztą na taką potrzebę (choć w odniesieniu do banków) wskazuje chociażby rekomendacja D UKNF, która wprost w wytycznej 8.1 wskazuje, że bank powinien dysponować wiedzą dotyczącą tego, jakie dane przetwarzane są w ramach prowadzonej przez niego działalności, jakie są ich źródła (w tym z określeniem, czy są to źródła wewnętrzne, czy zewnętrzne) oraz w jakich jednostkach, procesach i systemach realizowane jest to przetwarzanie.
W tym celu bank powinien przeprowadzić inwentaryzację przetwarzanych danych oraz systematycznie przeglądać rezultaty tej inwentaryzacji pod kątem zgodności ze stanem faktycznym. Dobra praktyka, choć niewątpliwie „zasobożerna”.
Te ryzyka „AI” powinniśmy oczywiście skorelować także z innymi, które występują w działaniu naszej organizacji. Istotne jest jednak to, że dotychczasowe ryzyka mogły być obsługiwane przez te same osoby przez ostatnią dekadę, a te które generuje szersze wykorzystanie danych i tych systemów, będzie wymagało większej interdyscyplinarności i szerszych kompetencji.
Jeżeli ryzykiem dla AI jest ryzyko naruszenia praw podstawowych, a Unia Europejska przebąkuje tutaj o konieczności wprowadzenia wymogów odrębnej oceny skutków dla tych praw, na wzór oceny skutków dla ochrony danych (DPIA) – to pozyskanie nowych kompetencji stanie się absolutnie konieczne.
Zmiany w politykach, procedurach, strukturze organizacyjnej, regulaminach, procesach i systemach IT będą absolutnie konieczne. Ja powiedziałbym, że i dzisiaj są już niezbędne, choć (bardzo) twardych wymogów w tym zakresie na razie nie ma, choć wiele zależeć będzie od oceny organów regulacyjnych i nadzorczych. Pamiętajmy przy tym, że i organy odpowiedzialne za przestrzeganie przepisów w zakresie ochrony danych osobowych „zasadzają się” coraz bardziej na systemy sztucznej inteligencji.
Warto przy tym pamiętać, że i w ustawie o usługach płatniczych, np. w odniesieniu do usługi dostępu do informacji o rachunku mamy już też pewne obowiązki uzupełniane o Rozporządzenie 2018/389.
Podsumowując, jeżeli rzeczywiście poważnie myślimy o transformacji lub stworzeniu fintechu opartego o dane i AI, to szczególną uwagę musimy przyłożyć do kwestii zarządzania ryzykiem. Materializacja ryzyk w tym obszarze może skutkować nie tylko odpowiedzialnością administracyjną, ale także utratą reputacji i zaufania klientów, a w skrajnych przypadkach odpowiedzialnością odszkodowawczą.
Pamiętać przy tym musimy, że nie oznacza to, że nasz system wyłapie wszystko. To po prostu niemożliwe. Dlatego ważne jest też wyznaczenie pewnego poziomu apetytu na ryzyko i jego akceptacji, a także wyposażenie organizacji we właściwe narzędzia.
Dr Michał Nowakowski,
prezes Zarządu Polskiej Organizacji Niebankowych Instytucji Płatności (PONIP).
Poglądy i opinie wyrażone w niniejszym artykule stanowią wyłącznie osobiste poglądy autora i nie mogą być utożsamiane z poglądami lub opiniami instytucji, z którą autor jest lub był związany.