Przewodnik po ryzyku i kontrolach AI od KPMG

Ta pierwsza statystyka może pochodzić z zeszłego roku, ale dziś jest równie aktualna. Zgodnie z KPMG’s 2024 U.S. CEO Outlook, aż 68% prezesów wskazało AI jako najwyższy priorytet inwestycyjny. Liczą na nią, aby zwiększyć efektywność, podnieść kwalifikacje pracowników i napędzać innowacje w swoich organizacjach.

To ogromny wyraz zaufania do AI — ale rodzi też ważne pytanie: skoro stawka jest tak wysoka, jak organizacje mogą zapewnić odpowiedzialne i etyczne wykorzystanie AI?

W tym miejscu pojawia się Przewodnik po ryzyku i kontrolach AI KPMG. Oferuje on jasne, praktyczne ramy pomagające firmom wykorzystać potencjał AI, jednocześnie zarządzając realnymi ryzykami. W dzisiejszych czasach budowanie zaufanej AI to nie tylko dobra praktyka — to konieczność biznesowa.

Sztuczna inteligencja (AI) rewolucjonizuje branże, odblokowując nowe poziomy efektywności, innowacyjności i konkurencyjności. Jednak ta transformacja wiąże się z nowym zestawem ryzyk i wyzwań etycznych, którymi organizacje muszą umiejętnie zarządzać, by utrzymać zaufanie i zapewnić odpowiedzialne użytkowanie. Przewodnik po ryzyku i kontrolach AI KPMG został stworzony, by wspierać organizacje w poruszaniu się po tych zawiłościach, oferując praktyczne, uporządkowane i oparte na wartościach podejście do zarządzania AI.

Zgodny z Zaufanymi Ramami AI KPMG, przewodnik pomaga firmom rozwijać i wdrażać rozwiązania AI w sposób etyczny, skoncentrowany na człowieku i zgodny z globalnymi standardami regulacyjnymi. Jest zorganizowany wokół 10 fundamentalnych filarów, z których każdy dotyczy kluczowego aspektu zarządzania ryzykiem AI:

1. Odpowiedzialność: Jasno określona odpowiedzialność za wyniki AI.
2. Sprawiedliwość: Ograniczanie uprzedzeń i promowanie równego traktowania.
3. Przejrzystość: Uczynienie procesów AI zrozumiałymi i widocznymi.
4. Wytłumaczalność: Zapewnianie powodów stojących za decyzjami AI.
5. Integralność danych: Zapewnienie wysokiej jakości i wiarygodności danych.
6. Niezawodność: Dostarczanie spójnych i precyzyjnych wyników.
7. Bezpieczeństwo: Ochrona systemów AI przed zagrożeniami i podatnościami.
8. Bezawaryjność: Projektowanie systemów minimalizujących szkody i ryzyka.
9. Prywatność: Ochrona danych osobowych i wrażliwych.
10. Zrównoważony rozwój: Minimalizowanie wpływu systemów AI na środowisko.

Skupiając się na tych filarach, organizacje mogą wdrażać zasady etyczne na każdym etapie cyklu życia AI — od strategii i rozwoju po wdrożenie i monitorowanie. Przewodnik ten nie tylko wzmacnia odporność na ryzyko, ale też wspiera innowacje, które są trwałe, godne zaufania i zgodne z oczekiwaniami społecznymi.

Niezależnie od tego, czy jesteś specjalistą ds. ryzyka, liderem, naukowcem danych, czy doradcą prawnym, ten przewodnik dostarcza kluczowych narzędzi i wiedzy, by odpowiedzialnie wykorzystywać potencjał AI.

Cel przewodnika

Odpowiedź na unikalne wyzwania AI

Przewodnik po ryzyku i kontrolach AI KPMG to wyspecjalizowane źródło, które pomaga organizacjom zarządzać specyficznym ryzykiem związanym ze sztuczną inteligencją. Uznaje, że choć AI oferuje ogromny potencjał, jej złożoność i wyzwania etyczne wymagają szczególnego podejścia do zarządzania ryzykiem. Przewodnik proponuje uporządkowane ramy do odpowiedzialnego i skutecznego radzenia sobie z tymi wyzwaniami.

Integracja z istniejącymi ramami

Przewodnik nie ma zastępować dotychczasowych systemów, lecz uzupełniać istniejące procesy zarządzania ryzykiem. Jego głównym celem jest uwzględnienie specyficznych dla AI aspektów w strukturach zarządzania organizacji, zapewniając płynne dopasowanie do obecnych praktyk operacyjnych. Dzięki temu firmy mogą wzmocnić swoje możliwości bez konieczności całkowitej przebudowy ram zarządczych.

Zgodność z zaufanymi standardami

Przewodnik opiera się na Zaufanych Ramach AI KPMG, które promują wartościowe i skoncentrowane na człowieku podejście do AI. Integruje zasady z szeroko uznawanych standardów, w tym ISO 42001, NIST AI Risk Management Framework i unijnego AI Act. Dzięki temu przewodnik jest praktyczny i zgodny z globalnie rozpoznawalnymi najlepszymi praktykami oraz wymogami prawnymi w zakresie zarządzania AI.

Zestaw narzędzi z praktycznymi wskazówkami

Przewodnik oferuje praktyczne przykłady i działania dostosowane do zarządzania ryzykiem AI. Zachęca organizacje do adaptacji wskazówek do własnych realiów, biorąc pod uwagę m.in. to, czy systemy AI są budowane wewnętrznie, czy kupowane od dostawców, a także typy danych i stosowane techniki. Taka elastyczność sprawia, że przewodnik pozostaje aktualny dla różnych branż i zastosowań AI.

Wspieranie etycznego i przejrzystego wdrażania AI

Przewodnik skupia się na umożliwieniu organizacjom bezpiecznego, etycznego i przejrzystego wdrażania technologii AI. Poruszając aspekty techniczne, operacyjne i etyczne ryzyk AI, pomaga budować zaufanie interesariuszy i jednocześnie czerpać korzyści z transformacyjnych możliwości tej technologii.

Przewodnik służy jako narzędzie zapewniające, by systemy AI były zgodne z celami biznesowymi przy jednoczesnym ograniczaniu ryzyk. Wspiera innowacje w sposób stawiający na odpowiedzialność i rzetelność.

Kto powinien korzystać z przewodnika?

Kluczowi interesariusze w zarządzaniu AI

Przewodnik po zarządzaniu AI KPMG jest przeznaczony dla profesjonalistów odpowiedzialnych za wdrożenie AI i dbających o to, by była ona stosowana bezpiecznie, etycznie i efektywnie. Dotyczy zespołów w różnych obszarach organizacji, m.in.:

• Działy ryzyka i zgodności: Specjaliści mogą dopasować praktyki zarządzania AI do istniejących ram ryzyka i wymogów prawnych.
• Eksperci ds. cyberbezpieczeństwa: W kontekście rosnących zagrożeń atakami na systemy AI, zespoły bezpieczeństwa mogą wykorzystać przewodnik do wdrożenia solidnych zabezpieczeń.
• Zespoły ds. prywatności danych: Przewodnik dostarcza narzędzi inspektorom ochrony danych do odpowiedzialnego zarządzania informacjami i rozwiązywania kwestii zgodności związanych z danymi osobowymi.
• Zespoły prawne i regulacyjne: Prawnicy mogą polegać na zgodności przewodnika z globalnymi ramami (np. RODO, ISO 42001, unijny AI Act), by zapewnić legalność systemów AI.
• Audytorzy wewnętrzni: Audytorzy mogą wykorzystywać przewodnik do oceny, czy systemy AI spełniają standardy etyczne i operacyjne.

Kierownictwo i decydenci strategiczni

Członkowie zarządów i wyższego kierownictwa, tacy jak CEO, CIO czy CTO, znajdą w przewodniku wsparcie w zarządzaniu AI jako strategicznym priorytetem. Według KPMG’s 2024 US CEO Outlook, 68% prezesów traktuje AI jako kluczowy kierunek inwestycji. Przewodnik umożliwia dopasowanie strategii AI do celów firmy, przy jednoczesnym zarządzaniu ryzykami.

Twórcy i inżynierowie AI

Inżynierowie oprogramowania, naukowcy danych i inne osoby odpowiadające za tworzenie i wdrażanie AI mogą wykorzystać przewodnik do wdrażania zasad etycznych i silnych kontroli bezpośrednio w systemach. Skupia się on na adaptacji zarządzania ryzykiem do architektury i przepływów danych modeli AI.

Organizacje każdej wielkości i branży

Przewodnik jest elastyczny dla firm rozwijających AI wewnętrznie, korzystających z rozwiązań dostawców lub używających własnych zbiorów danych. Szczególnie istotny jest dla branż takich jak finanse, zdrowie, czy technologie, gdzie zaawansowane AI i wrażliwe dane są kluczowe dla działalności.

Dlaczego przewodnik jest ważny

Wdrażanie AI bez jasnych ram zarządzania może prowadzić do ryzyk finansowych, regulacyjnych i reputacyjnych. Przewodnik KPMG współdziała z istniejącymi procesami, dostarczając uporządkowanego, etycznego podejścia do zarządzania AI. Promuje odpowiedzialność, przejrzystość i etyczność, pomagając organizacjom korzystać z AI w sposób odpowiedzialny i innowacyjny.

Jak zacząć korzystać z przewodnika

Dopasowanie ryzyk AI do istniejącej taksonomii ryzyka

Organizacje powinny zacząć od powiązania ryzyk specyficznych dla AI z aktualną taksonomią ryzyka. Taksonomia ryzyka to uporządkowana struktura do identyfikacji, organizacji i zarządzania potencjalnymi zagrożeniami. Ponieważ AI wprowadza nowe wyzwania, klasyczne taksonomie wymagają rozszerzenia o czynniki związane z AI, takie jak dokładność przepływu danych, logika algorytmów czy wiarygodność źródeł danych. Dzięki temu ryzyka AI stają się częścią ogólnych działań zarządczych, a nie są traktowane odrębnie.

Przewodnik podkreśla konieczność oceny pełnego cyklu życia systemów AI. Kluczowe obszary to pochodzenie danych, sposób ich przepływu oraz logika leżąca u podstaw modelu AI. Tak szerokie spojrzenie pozwala zidentyfikować miejsca podatne na błędy już podczas tworzenia i użytkowania AI.

Dostosowanie kontroli do potrzeb organizacji

Systemy AI różnią się celem, metodą tworzenia i typem wykorzystywanych danych. To, czy model powstał wewnątrz firmy, czy został dostarczony z zewnątrz, znacząco wpływa na skalę zagrożeń. Podobnie rodzaj danych — własne, publiczne czy wrażliwe — oraz techniki budowy AI wymagają indywidualnych strategii zarządzania ryzykiem.

Przewodnik zaleca dostosowanie środków kontroli do specyficznych potrzeb systemów AI. Przykładowo, przy korzystaniu z danych własnych konieczne mogą być ścisłe zasady dostępu. Z kolei system AI dostarczany przez zewnętrznego dostawcę wymaga dogłębnej oceny ryzyka stron trzecich. Takie dostosowanie pozwala skuteczniej ograniczać konkretne wyzwania związane z AI.

Uwzględnianie ryzyka na każdym etapie cyklu życia AI

Przewodnik zaleca wdrażanie praktyk zarządzania ryzykiem na każdym etapie życia AI. Obejmuje to planowanie już w fazie projektowania, wdrażanie silnego monitoringu podczas uruchamiania, a także regularne aktualizacje oceny ryzyk w miarę rozwoju systemu AI. Dzięki temu ograniczasz podatności i zapewniasz etyczność oraz niezawodność systemów AI.

Pierwsze kroki — powiązanie ryzyk AI z istniejącą taksonomią i dostosowanie kontroli do potrzeb — pozwalają zbudować solidne podstawy dla zaufanej AI. Umożliwiają systematyczną identyfikację, ocenę i zarządzanie ryzykami, budując silne ramy zarządzania AI.

10 filarów zaufanej AI

Zaufane Ramy AI KPMG opierają się na dziesięciu kluczowych filarach, które odpowiadają na wyzwania etyczne, techniczne i operacyjne sztucznej inteligencji. Te filary prowadzą organizacje przez projektowanie, rozwój i wdrażanie AI w sposób odpowiedzialny, zapewniając zaufanie i odpowiedzialność przez cały cykl życia AI.

Odpowiedzialność

Nadzór człowieka i odpowiedzialność powinny być obecne na każdym etapie cyklu życia AI. Oznacza to określenie, kto odpowiada za zarządzanie ryzykiem AI, zapewnienie zgodności z przepisami oraz możliwość ingerencji, zastopowania lub cofnięcia decyzji AI, gdy to konieczne.

Sprawiedliwość

Systemy AI powinny ograniczać lub eliminować uprzedzenia mogące negatywnie wpływać na osoby, społeczności czy grupy. Wymaga to dokładnej analizy danych pod kątem reprezentatywności, stosowania środków równościowych podczas rozwoju oraz ciągłego monitorowania wyników, by zapewnić równe traktowanie.

Przejrzystość

Przejrzystość wymaga otwartego informowania o działaniu systemów AI i powodach podejmowanych decyzji. Obejmuje dokumentację ograniczeń systemu, rezultatów testów i metod weryfikacji. Użytkownicy powinni być informowani o zbieraniu danych, treści generowane przez AI muszą być odpowiednio oznaczone, a wrażliwe zastosowania (np. biometryka) wymagać jasnych komunikatów dla użytkownika.

Wytłumaczalność

Systemy AI muszą podawać zrozumiałe powody swoich decyzji. W tym celu organizacje powinny dokładnie dokumentować zbiory danych, algorytmy i wskaźniki wydajności, umożliwiając interesariuszom analizę i powtarzanie wyników.

Integralność danych

Jakość i wiarygodność danych w całym cyklu życia — od zbierania, etykietowania, przechowywania po analizę — są kluczowe. Należy wdrożyć kontrole ograniczające ryzyka takie jak uszkodzenie czy uprzedzenia danych. Regularne testy jakości i regresyjne po aktualizacjach systemu pomagają utrzymać dokładność i niezawodność AI.

Prywatność

Rozwiązania AI muszą spełniać wymogi dotyczące ochrony prywatności i danych osobowych. Organizacje powinny właściwie realizować żądania osób dotyczące ich danych, przeprowadzać oceny wpływu na prywatność oraz stosować zaawansowane metody (np. prywatność różnicową), by równoważyć użyteczność danych z ochroną prywatności.

Niezawodność

Systemy AI powinny działać zgodnie z przeznaczeniem i wymaganą dokładnością. Oznacza to gruntowne testy, mechanizmy wykrywania anomalii oraz nieprzerwane pętle zwrotne weryfikujące wyniki działania.

Bezawaryjność

Środki bezpieczeństwa chronią systemy AI przed wyrządzeniem szkód osobom, firmom czy mieniu. Należą do nich projektowanie zabezpieczeń awaryjnych, monitorowanie ataków (np. zatruwanie danych, ataki prompt injection) oraz dbanie o zgodność z normami etycznymi i operacyjnymi.

Bezpieczeństwo

Silne praktyki bezpieczeństwa są niezbędne do ochrony AI przed zagrożeniami i złośliwymi działaniami. Organizacje powinny regularnie przeprowadzać audyty, testy podatności i stosować szyfrowanie w celu zabezpieczenia danych.

Zrównoważony rozwój

Systemy AI powinny być projektowane z myślą o minimalizacji zużycia energii i wspieraniu celów środowiskowych. Aspekty zrównoważonego rozwoju należy uwzględniać już na etapie projektowania, monitorując zużycie energii, efektywność i emisje przez cały cykl życia AI.

Stosując te dziesięć filarów, organizacje mogą tworzyć systemy AI etyczne, godne zaufania i zgodne z oczekiwaniami społecznymi. Ramy te zapewniają jasną strukturę zarządzania wyzwaniami AI i wspierają odpowiedzialną innowacyjność.

Kluczowe ryzyka i kontrole – Integralność danych

Integralność danych w systemach AI

Integralność danych jest kluczowa dla zachowania dokładności, sprawiedliwości i niezawodności systemów AI. Słabe zarządzanie danymi prowadzi do ryzyk takich jak uprzedzenia, błędy i niewiarygodne wyniki. Problemy te mogą podważyć zaufanie do wyników AI i powodować poważne konsekwencje operacyjne lub reputacyjne. Zaufane Ramy AI KPMG podkreślają znaczenie utrzymywania wysokiej jakości danych przez cały cykl życia, aby AI działała skutecznie i spełniała normy etyczne.

Kluczowe ryzyka dla integralności danych

Brak zarządzania danymi

Bez silnego zarządzania danymi systemy AI mogą generować wadliwe wyniki. Problemy takie jak niekompletne, nieprecyzyjne lub nieistotne dane prowadzą do stronniczych lub niewiarygodnych rezultatów, zwiększając ryzyko w różnych zastosowaniach AI.

Uszkodzenia danych podczas transferów

Dane często przemieszczają się między systemami podczas treningu, testowania czy eksploatacji. Jeśli transfery nie są odpowiednio zabezpieczone, dane mogą ulec uszkodzeniu, zgubieniu lub pogorszeniu jakości, co wpływa na wyniki AI.

Środki kontroli ograniczające ryzyka

Rozwijanie kompleksowych polityk zarządzania danymi

Aby poprawić zarządzanie danymi, organizacje powinny:

• Tworzyć i egzekwować zasady dotyczące zbierania, przechowywania, etykietowania i analizy danych.
• Wdrażać procesy zarządzania cyklem życia danych, zapewniając ich aktualność, kompletność i przydatność.
• Regularnie przeprowadzać kontrole jakości, aby szybko wykrywać i naprawiać błędy.

Zabezpieczanie transferów danych

Aby ograniczyć ryzyka podczas przesyłania danych, warto:

• Stosować bezpieczne protokoły zapobiegające uszkodzeniom lub utracie danych.
• Regularnie przeglądać zbiory treningowe i testowe, zwłaszcza przy aktualizacjach systemu, by zapewnić ich adekwatność i kompletność. To obejmuje również dodawanie nowych danych w celu utrzymania wydajności systemu.

Ciągły monitoring i walidacja

Wykorzystanie systemów ciągłego monitoringu pomaga utrzymać integralność danych przez cały cykl życia AI. Pozwala to wykrywać problemy, takie jak niespodziewane zmiany jakości danych lub niespójności w obsłudze zbiorów, umożliwiając szybką reakcję naprawczą.

Podsumowanie

Utrzymanie integralności danych jest niezbędne dla wdrażania godnych zaufania systemów AI. Organizacje mogą ograniczać ryzyka poprzez tworzenie solidnych ram zarządzania, zabezpieczanie interakcji z danymi i ciągłą ich walidację. Takie działania zwiększają wiarygodność wyników AI, spełniając standardy etyczne i operacyjne, a także budując zaufanie do technologii AI.

Kluczowe ryzyka i kontrole – Prywatność

Dostęp podmiotów danych do prywatności

Zarządzanie żądaniami dotyczącymi dostępu do danych osobowych to istotne wyzwanie w obszarze prywatności AI. Organizacje muszą umożliwić osobom korzystanie z praw do dostępu, poprawiania lub usuwania danych zgodnie z przepisami takimi jak RODO czy CCPA. Niewłaściwa obsługa takich żądań może prowadzić do naruszeń przepisów, utraty zaufania klientów i szkód wizerunkowych.

Aby ograniczyć to ryzyko, firmy powinny tworzyć programy edukujące użytkowników o ich prawach wobec danych przy korzystaniu z AI. Systemy muszą umożliwiać szybkie i przejrzyste obsługiwanie żądań. Organizacje powinny także prowadzić szczegółową dokumentację sposobu realizacji żądań, by udowodnić zgodność podczas audytów.

Naruszenia prywatności w wyniku wycieków danych

Systemy AI często przetwarzają wrażliwe dane osobowe, przez co stanowią atrakcyjny cel ataków cybernetycznych. Wyciek danych może skutkować dotkliwymi karami, utratą reputacji firmy i brakiem zaufania klientów.

Aby przeciwdziałać temu ryzyku, Zaufane Ramy AI KPMG zalecają przeprowadzanie etycznych przeglądów systemów AI korzystających z danych osobowych pod kątem zgodności z przepisami o prywatności. Niezbędne są regularne audyty ochrony danych i oceny wpływu na prywatność (PIA), zwłaszcza gdy wrażliwe dane służą do trenowania modeli AI. Dodatkowo, metody takie jak prywatność różnicowa (dodająca szum statystyczny do danych) mogą pomóc w anonimizacji informacji przy zachowaniu możliwości analizy.

Brak prywatności w fazie projektowania

Systemy AI, które nie uwzględniają ochrony prywatności już na etapie projektowania, mogą generować poważne ryzyka. Brak zasady „privacy by design” grozi ujawnieniem wrażliwych danych i niezgodnością z wymogami prawnymi.

Firmy powinny wdrażać zabezpieczenia prywatności już podczas tworzenia systemów AI. Obejmuje to przestrzeganie przepisów o ochronie danych poprzez solidne praktyki zarządzania. Kluczowa jest przejrzysta dokumentacja sposobu zbierania, wykorzystania i przechowywania danych. Organizacje muszą także uzyskać wyraźną zgodę użytkownika na przetwarzanie danych, szczególnie w przypadku danych biometrycznych.

Przejrzystość w interakcjach z użytkownikiem

Gdy systemy AI nie informują jasno, jak przetwarzają dane użytkowników, może to prowadzić do utraty zaufania i konsekwencji prawnych. Użytkownicy powinni wiedzieć, kiedy ich dane są zbierane i w jakim celu…