Milliseid nõudeid peaksid juhtkonnad esitama tehisintellektile: hindamine, audit ja tagatis

Autoriga: Erika Fille T. Legara

EELMISES BusinessWorld artiklis argumendisin, et AI valdkonna juhtimine ulatub kaugemale kui mõne tehnoloogiaprojekti järelevalve ja hõlmab nüüd ka seda, et tagada kogu organisatsioonis AI-ga toetatud otsuste kooskõla strateegiaga, riskiaktsepteerimisega ja eetiliste standarditega. Loomulik järgmine küsimus nõukogudele on: millised on selleks, et organisatsioon veenduks, et selle AI-süsteemid tegutsevad tegelikult nii, nagu on ette nähtud, vastutustundlikult ja kindlaksmääratud piirides, võimalused peale ootuste seadmise?

Vastus peitub kolmes seotud, kuid erinevas valdkonnas: AI riskihindamine, AI audit ja AI tagatis (assurance). Nõukogud, kes on harjunud finantsülevalvega, leiavad selle loogika intuitiivselt arusaadava. Selleks, et rakendada sama distsipliini AI valdkonnas, on nii väljakutse kui ka võimalus.

3 ERINEVAT, KUID SEOTUD MÕISTET
On kasulik olla täpselt teadlik sellest, mida iga termin tähendab, sest neid kasutatakse sageli vahetult, kuigi seda ei tohiks teha.

AI riskihindamine on sisemine protsess, millega organisatsioon tuvastab, hindab ja prioriteedib oma AI-süsteemidega seotud riske. See püüab vastata küsimustele: „Mis võib valesti minna?“, „Kui tõenäoline see on?“ ja „Milline on selle mõju?“. See on alus, millele kõik muu põhineb. Usaldusväärse riskihindamiseta ei ole ühelgi auditis ega tagatistööl tähendusrikas lähtepunkt. Olulised AI-süsteemid eksisteerivad igas sektoris: pankades krediidiskoorimismudel, haiglates patsientide triiažimisriist, ülikoolides õpilaste jõudluse ennustamise mudel, riigiasutustes juhtumite prioriteedimise süsteem. Ühiseks nende vahel on tagajärg, mis hõlmab väljundeid, mis mõjutavad inimesi tähenduslikul viisil.

Igal sellisel süsteemil peaks riskihindamine olema süstemaatiline, dokumenteeritud ja regulaarselt uuendatav, kuna mudel areneb ja töökeskkond muutub.

AI audit on sõltumatu ülevaade sellest, kas AI-süsteem või selle ümber paiknev juhtimisraamistik vastab kindlaksmääratud standarditele, poliitikatele või nõuetele. See on tõenduspõhine protsess, mille läbib isik või asutus, kes on piisavalt sõltumatu süsteemi vastutajatest. AI audit võib hinnata näiteks seda, kas organisatsiooni AI-halduspraktikad vastavad rahvusvahuliselt tunnustatud standardile, nagu ISO/IEC 42001 – maailma esimene AI-haldussüsteemi standard, mis avaldati 2023. aastal, või seda, kas konkreetne mudel töötab heakskiidetud parameetrite piires ja ilma tahtmatu eelarvamusteta. Tähtis on see, et auditiorendite endi jaoks kehtestatud standard – ISO/IEC 42006, mis avaldati juulis 2025 – määrab nüüd kindlaks nende pädevuse ja rangeid nõudeid, mida tuleb täita AI-haldussüsteemide auditimise ja sertifitseerimisega tegelevate asutuste suhtes. Teisisõnu algab auditi professionaalne valdkond formaliseerima oma vastutust AI tegevuste ees.

AI tagatis (assurance) on selle auditiprotsessist tulenev ametlik, osapooltele suunatud järeldus. See on kvalifitseeritud ja sõltumatu osapoole poolt antav professionaalne arvamus, mis annab nõukogudele, regulaatoritele, investoritele ja avalikkusele usaldust selle suhtes, et AI-süsteem või AI-haldusraamistik vastab kindlaksmääratud standardile. Tagatis muudab sisemise ülevaate usaldusväärseks väliste osapoolte jaoks mõeldud signaaliks.

AI TAGATISE ALUSEKS OLEVAD PÕHIMÕTTED
Sõltumatu tagatise mõiste ei ole nõukogudele uus. Iga aasta uurivad väline auditorkeskused organisatsiooni finantsaruannet ja annavad arvamuse; see on tõenditele tuginev järeldus, mille tehakse rahvusvahaliselt tunnustatud standardite kohaselt ja mille aluseks on auditorkeskuse professionaalne sõltumatus. Selle arvamuse kaalukus tuleneb just sellest, et selle reguleeriv raamistik on range ja hästi välja kujunenud. See loogika kehtib igas valdkonnas: kas organisatsioon on pank, haigla, konglomeraat või avalik asutus – finantsaudit on tuttav ja usaldusväärne mehhanism.

Sama loogika kehtib nüüd ka AI kohta. Kui organisatsioon teeb avalikku või regulaatorlikku väidet oma AI-süsteemide kohta – näiteks et need on õiglaselt, läbipaistvalt, kindlaksmääratud standardite kohaselt ja oluliste eelarvamusteta – siis tekib küsimus: kes kontrollib seda väidet sõltumatult ja millise professionaalse raamistikuga?

Kontroll- ja auditiprofessionaalide jaoks on vastuseks ISAE 3000 – Rahvusvaheline tagatiseengagementide standard, mille on välja andnud Rahvusvaheline Audit- ja Tagatise Standardite Nõukogu (IAASB). ISAE 3000 reguleerib tagatiseengagemente teostamist muu teabe kui ajaloolise finantsinformatsiooni puhul, mistõttu on see AI tagatise loomulik kodu. Selle standardi kohaselt võib professionaal teostada kas „piisava tagatise“ engagementi (kõrgem tase, mis on analoogne finantsauditingule) või „piiratud tagatise“ engagementi, mille sügavus on lähemal ülevaatusele. Valitud tase on oluline ja selle valik tuleb teha teadlikult, sõltuvalt vaadeldava AI-süsteemi olulisusest ja riskeeruvusest.

Lähedane kaasaegne paralleel on jätkusuutlikkuse või ESG-tagatis. Paljud Filipiinidel noteeritud ettevõtted tellivad juba praegu oma jätkusuutlikkuse teatiste kohta sõltumatut tagatist, sageli ISAE 3000 kohaselt. Mekaanika on täpselt sama: sõltumatu praktik vaatab läbi teatud väited kindlaksmääratud kriteeriumide kohaselt ja annab ametliku järelduse. Teema erineb; professionaalne distsipliin ei erine.

MIS SEE TÄHENDAB NÕUKOGUDELE
Sellest raamistikust tulenevad kolm praktilist järeldust.

Esiteks peaksid nõukogud küsima, kas nende organisatsioonid on teinud põhjalikku AI riskihindamist olulistele süsteemidele. See ei tohiks olla ühekordne tegevus, vaid elav protsess, mida uuendatakse mudelite ümberõpetamisel, kasutusjuhtude laienemisel ja regulaatorse keskkonna muutumisel. Alljärgneva auditite ja tagatiste kvaliteet on vaid nii hea, kui enne seda tehtud riskihindamine.

Teiseks peaksid nõukogud eristama sisemist ja välist AI auditit. Sisemise auditifunktsiooni roll on kriitiline, et anda tagatis, et AI-kontrollid toimivad nii, nagu on ette nähtud. Samas peaksid nõukogud ka kaaluma, kas oluliste AI-süsteemide puhul on põhjendatud sõltumatu kolmanda osapoole audit, eriti süsteemide puhul, mis mõjutavad olulisel viisil kliente, töötajaid või avalikkust. Nagu finantsauditingu puhul, tugevdab sõltumatus usaldusväärsust.

Kolmandaks, kuna organisatsioonid teevad üha rohkem avalikke kohustusi oma AI-praktikate kohta regulaatoritele, investoritele ja nende teenindatavatele kogukondadele, peaksid nõukogud küsima, kas need kohustused on toetatud usaldusväärse tagatisega. Väited ilma sõltumatu kinnitamiseta on parimal juhul reputatsioonirisk, mis ootab ainult realiseerumist.

PROFESSION, MILLE VÕIMALUSED ON SIIS KUJUNEMAS
See stseen ei ole täielik, kui mitte tunnistada selle praeguseid piiranguid. AI tagatise infrastruktuur on veel ehitamisel. Professionaalsed standardid on arenemas. Auditorite pädevus AI valdkonnas – masinõppe, algoritmilise eelarvamuse, andmete valdkonna juhtimise ja mudelite läbipaistvuse osas – ei ole veel ühtlaselt arendatud kogu professionaalses valdkonnas. ISAE 3000 pakub tagatise raamistiku, kuid selles sisalduvad AI-spetsiifilised meetodid on veel täiustumisel.

Organisatsioonidele, kes pole veel valmis formaalset tagatist taotlema, ei ole see põhjus lihtsalt oodata. Struktureeritud ja regulaarne oluliste AI-süsteemide hindamine on tähendusrikas ja praktiline first step. See loob sisemise distsipliini, dokumentatsiooni ja juhtimisharjumused, mida tagatise valmiduse saavutamiseks hiljem vajatakse. Nõukogud, kes tellivad selliseid hindamisi juba täna – isegi informaalselt –, arendavad institutsionaalset lihastust, mis on oluline, kui regulaatorsed ootused muutuvad rangedamaks ja osapoolte tähelepanu tugevneb.

See vaade on üks neist, millele olen sügavamalt pühendunud oma teadusuuringutes koos kolleegidega, kus uurime generatiivse AI juhtimist majandustes, kus regulatsioon ei ole veel tehnoloogiat jõudnud järgi. Peamiseks argumendiks on see, et firmad on juba moraalsed tegijad, kellel on olemasolevad eetilised kohustused oma osapooltele; ootamine spetsiifiliste AI-seaduste vastuvõtmist ei ole nii vajalik ega piisav vastutustundliku juhtimise tagamiseks. Kohustus tegutseda on juba olemas. Vajalik on organisatsioonilise tahte tegelikult selle operatsionaliseerimine.

See ei ole põhjus, miks nõukogud peaksid ootama laiemat tegevuskava. See on põhjus, miks nad peaksid juba täna esitama oma välistele auditoritele, sisemistele auditifunktsioonidele ja juhtkonnale teadlikke küsimusi, et kui professionaalsete võimaluste areng jõuab nõudlusele vastavalt, oleksid nende organisatsioonid valmis tähenduslikult osaleda.

Finantsaudit ei tekkinud täielikult valmis. Selleks, et sõltumatu audit saaks tänapäevaseks usaldusväärseks institutsiooniks, kulunud kümnendid standardite kehtestamisele, professionaalsete oskuste arendamisele ja korporatiivsete ebaõnnestumiste rasketest õppetundidest. AI tagatis on praegu samas varases pöördepunktis. Nõukogud, kes sellega täna juba tegelevad, esitavad oma auditoritele teravamaid küsimusi, nõuavad rohkem kui lihtsalt juhtkonna väiteid ja ehitavad oma sisemisi võimalusi enne kui regulaatorid seda nõuavad, ei vähenda mitte ainult omaenda ohuallikaid. Nad aitavad ka kujundada seda, kuidas vastutustundlik AI-vastutus välja näeb Filipiinide organisatsioonide ja laiemas piirkonnas.

Erika Fille T. Legara on füüsik, õpetaja ning andmeteaduse ja AI praktik, kes töötab valitsuse, akadeemia ja tööstussektoris. Ta on hariduskeskuse AI-uuringute juhtiv direktor ja peamine AI- ja andmete ametnik ning Aasiatoo Majandusinstituudi vanemteadur ja Data Science’i Aboitiz-i õppekoht. Seal asutas ja juhtis ta 2017–2024 riigi esimest andmeteaduse magistrikoolitust. Ta on korporatiivsete nõukogude liige, Institute of Corporate Directorsi fellow, IAPP Certified AI Governance Professional ja CorteX Innovationsi kaasasutaja.