Co zarządy powinny wymagać od AI: ocena, audyt i zapewnienie

Autor: Erika Fille T. Legara

W POPRZEDNIM artykule BusinessWorld argumentowałam, że zarządzanie AI wykracza poza nadzorowanie kilku projektów technologicznych i obejmuje obecnie zapewnienie, że decyzje wspierane przez AI w całej organizacji pozostają zgodne ze strategią, apetytém na ryzyko i standardami etycznymi. Naturalnym pytaniem następczym dla zarządów jest: poza ustalaniem oczekiwań, jak organizacja weryfikuje, że jej systemy AI faktycznie działają zgodnie z zamierzeniami, odpowiedzialnie i w ramach zdefiniowanych granic?

Odpowiedź tkwi w trzech powiązanych, ale odrębnych dyscyplinach: ocenie ryzyka AI, audycie AI i zapewnieniu jakości AI. Zarządy zaznajomione z nadzorem finansowym uznają tę logikę za intuicyjną. Wyzwaniem i jednocześnie szansą jest zastosowanie tej samej dyscypliny do AI.

3 ODRĘBNE, ALE POWIĄZANE KONCEPCJE
Pomocne jest precyzyjne określenie znaczenia każdego terminu, ponieważ często używa się ich zamiennie, gdy nie powinno się tego robić.

Ocena ryzyka AI to wewnętrzny proces, dzięki któremu organizacja identyfikuje, ocenia i priorytetyzuje ryzyka związane z jej systemami AI. Pyta o to, co może pójść nie tak, jak prawdopodobne jest to i jaki byłby wpływ. To fundament, na którym wszystko inne się opiera. Bez wiarygodnej oceny ryzyka ani audyt, ani zapewnienie jakości nie ma sensownej podstawy do pracy. Istotne systemy AI istnieją w każdym sektorze: model oceny kredytowej w banku, narzędzie do segregacji pacjentów w szpitalu, predyktor wyników uczniów na uniwersytecie, system priorytetyzacji spraw w agencji rządowej. To, co je łączy, to konsekwencje, które obejmują wyniki wpływające na prawdziwych ludzi w znaczący sposób.

Dla każdego takiego systemu ocena ryzyka powinna być systematyczna, udokumentowana i regularnie weryfikowana w miarę ewolucji modelu i zmian w środowisku operacyjnym.

Audyt AI to niezależne badanie, czy system AI lub otaczające go ramy zarządzania są zgodne ze zdefiniowanymi standardami, politykami lub wymaganiami. To proces oparty na dowodach, prowadzony przez stronę wystarczająco niezależną od osób odpowiedzialnych za badany system. Audyt AI może oceniać, czy praktyki zarządzania AI w organizacji są zgodne z uznanym międzynarodowo standardem, takim jak ISO/IEC 42001, pierwszy na świecie standard systemu zarządzania AI opublikowany w 2023 roku, lub czy konkretny model działa w ramach zatwierdzonych parametrów i bez niezamierzonych uprzedzeń. Co ważne, standard regulujący samych audytorów, ISO/IEC 42006, opublikowany w lipcu 2025 roku, określa teraz kompetencje i rygor wymagane od podmiotów audytujących i certyfikujących systemy zarządzania AI. Innymi słowy, profesja audytorska zaczyna formalizować własną odpowiedzialność za zaangażowanie w AI.

Zapewnienie jakości AI to formalny, skierowany do interesariuszy wniosek, który wynika z tego procesu audytu. Jest to profesjonalna opinia wydana przez wykwalifikowaną i niezależną stronę, która daje zarządom, regulatorom, inwestorom i społeczeństwu pewność, że system AI lub ramy zarządzania AI spełniają określony standard. Zapewnienie jakości to coś, co przekształca wewnętrzny przegląd w wiarygodny sygnał zewnętrzny.

UGRUNTOWANIE ZAPEWNIENIA JAKOŚCI AI
Koncepcja niezależnego zapewnienia jakości nie jest nowa dla zarządów. Co roku zewnętrzni audytorzy badają sprawozdania finansowe organizacji i wydają opinię; konkluzję opartą na dowodach, prowadzoną zgodnie z uznanymi międzynarodowo standardami i wspieraną profesjonalną niezależnością audytora. Ta opinia ma znaczenie właśnie dlatego, że ramy, które nią rządzą, są rygorystyczne i dobrze ugruntowane. Ta logika obowiązuje niezależnie od branży; czy organizacja jest bankiem, szpitalem, konglomeratem czy instytucją publiczną, audyt finansowy jest znanym i zaufanym mechanizmem.

Ta sama logika stosuje się teraz do AI. Gdy organizacja składa publiczne lub regulacyjne oświadczenie o swoich systemach AI, że są sprawiedliwe, przejrzyste, zgodne z określonym standardem lub wolne od istotnych uprzedzeń, pytanie brzmi: kto niezależnie weryfikuje to twierdzenie i w ramach jakich profesjonalnych ram?

Odpowiedzią dla profesji księgowej i audytorskiej jest ISAE 3000, Międzynarodowy Standard Dotyczący Zaangażowań Zapewniających wydany przez Międzynarodową Radę Standardów Audytu i Zapewnienia Jakości (IAASB). ISAE 3000 reguluje zaangażowania zapewniające w sprawach innych niż historyczne informacje finansowe, co czyni go naturalnym domem dla zapewnienia jakości AI. Zgodnie z tym standardem profesjonalista może przeprowadzić albo zaangażowanie zapewniające racjonalną pewność, wyższy standard analogiczny do audytu finansowego, albo zaangażowanie zapewniające ograniczoną pewność, które jest bardziej podobne głębokością do przeglądu. Wybór poziomu ma znaczenie i powinien być świadomy, skalibrowany do istotności i ryzyka danego systemu AI.

Bliską współczesną analogią jest zapewnienie zrównoważonego rozwoju lub ESG. Wiele filipińskich spółek giełdowych już zleca niezależne zapewnienie swoich ujawnień dotyczących zrównoważonego rozwoju, często zgodnie z ISAE 3000. Mechanika jest dokładnie taka sama: niezależny praktyk bada zestaw twierdzeń w odniesieniu do zdefiniowanych kryteriów i wydaje formalny wniosek. Przedmiot się różni; dyscyplina profesjonalna nie.

CO TO OZNACZA DLA ZARZĄDÓW
Z tego frameworku wynikają trzy praktyczne implikacje.

Po pierwsze, zarządy powinny zapytać, czy ich organizacje przeprowadziły rygorystyczne oceny ryzyka AI dla istotnych systemów. Nie jako jednorazowe ćwiczenie, ale jako żywy proces, który jest aktualizowany, gdy modele są ponownie trenowane, przypadki użycia się rozszerzają, a środowisko regulacyjne ewoluuje. Jakość późniejszej pracy audytowej i zapewniającej jest tylko tak dobra, jak ocena ryzyka, która ją poprzedza.

Po drugie, zarządy powinny rozróżniać między wewnętrznym a zewnętrznym audytem AI. Funkcje audytu wewnętrznego odgrywają kluczową rolę w zapewnianiu, że kontrole AI działają zgodnie z założeniami. Jednak zarządy powinny również rozważyć, czy uzasadniony jest niezależny audyt zewnętrzny istotnych systemów AI, szczególnie dla systemów, które wpływają na klientów, pracowników lub społeczeństwo w znaczący sposób. Podobnie jak w przypadku audytu finansowego, niezależność wzmacnia wiarygodność.

Po trzecie, ponieważ organizacje coraz częściej składają publiczne zobowiązania dotyczące swoich praktyk AI wobec regulatorów, inwestorów i społeczności, którym służą, zarządy powinny zapytać, czy te zobowiązania są poparte wiarygodnym zapewnieniem. Twierdzenia bez niezależnej walidacji są, w najlepszym przypadku, ryzykiem reputacyjnym czekającym na zmaterializowanie się.

PROFESJA WCIĄŻ BUDUJĄCA SWOJE MOŻLIWOŚCI
Byłoby niekompletne przedstawienie tego krajobrazu bez uznania jego obecnych ograniczeń. Infrastruktura dla zapewnienia jakości AI wciąż jest budowana. Profesjonalne standardy dopiero się pojawiają. Kompetencje audytorów w AI, obejmujące uczenie maszynowe, uprzedzenia algorytmiczne, zarządzanie danymi i przejrzystość modeli, nie są jeszcze jednolicie rozwinięte w całej profesji. ISAE 3000 zapewnia ramy zapewniające, ale specyficzne dla AI metodologie, które się w nich mieszczą, wciąż dojrzewają.

Dla organizacji, które nie są jeszcze gotowe do realizacji formalnego zapewnienia, nie jest to powód do stania w miejscu. Ustrukturyzowana, regularna ocena istotnych systemów AI to znaczący i praktyczny pierwszy krok. Buduje ona wewnętrzną dyscyplinę, dokumentację i nawyki zarządzania, które ostatecznie wymaga gotowość do zapewnienia. Zarządy, które zlecają takie oceny dzisiaj, nawet nieformalnie, rozwijają instytucjonalną siłę, która będzie miała znaczenie, gdy oczekiwania regulacyjne się zaostrą, a kontrola interesariuszy się intensyfikuje.

Ten pogląd jest jednym z tych, które zgłębiłam bardziej w badaniach, które rozwijam z kolegami, badając zarządzanie generatywną AI w gospodarkach, gdzie regulacje jeszcze nie nadążyły za technologią. Centralnym argumentem jest to, że firmy są już podmiotami moralnymi z istniejącymi zobowiązaniami etycznymi wobec swoich interesariuszy; oczekiwanie na dedykowane prawodawstwo AI nie jest ani konieczne, ani wystarczające dla odpowiedzialnego zarządzania. Obowiązek działania już istnieje. To, czego potrzeba, to organizacyjna wola, aby go zoperacjonalizować.

To nie jest powód, by zarządy czekały na szerszą agendę. To powód, by zadawać świadome pytania teraz, swoim zewnętrznym audytorom, wewnętrznym funkcjom audytu i zespołom zarządzającym, aby gdy możliwości profesji dogonią popyt, ich organizacje były gotowe do znaczącego zaangażowania.

Audyt finansowy nie pojawił się w pełni ukształtowany. Zajęły dekady ustanawiania standardów, rozwoju zawodowego i trudnych lekcji z porażek korporacyjnych, aby niezależny audyt stał się wiarygodną instytucją, jaką jest dzisiaj. Zapewnienie jakości AI znajduje się w porównywalnym wczesnym punkcie zwrotnym. Zarządy, które angażują się w to teraz, zadają ostrzejsze pytania swoim audytorom, żądają więcej niż twierdzenia zarządu i budują wewnętrzne możliwości, zanim regulatorzy będą tego wymagać, nie tylko zmniejszą własną ekspozycję. Pomogą ukształtować, jak wygląda odpowiedzialna rozliczalność AI dla filipińskich organizacji i szerszego regionu.

Erika Fille T. Legara jest fizykiem, edukatorką i praktykiem nauki o danych oraz AI pracującym w sektorze rządowym, akademickim i przemysłowym. Jest inauguracyjnym dyrektorem zarządzającym i głównym dyrektorem ds. AI i danych w Education Center for AI Research oraz profesorem nadzwyczajnym i kierownikiem katedry Aboitiz w dziedzinie Data Science w Asian Institute of Management, gdzie założyła i prowadziła pierwszy w kraju program MSc in Data Science od 2017 do 2024 roku. Zasiada w zarządach korporacyjnych, jest członkiem Institute of Corporate Directors, certyfikowanym specjalistą IAPP ds. zarządzania AI i współzałożycielką CorteX Innovations.