AI-styring - Fordeler med ISO/IEC 42001-sertifisering

For nesten alle virksomheter er kunstig intelligens (AI) et hett tema i dag, og de fleste er ivrige etter å utforske de påståtte fordelene. Det finnes imidlertid potensielle utfordringer og risikoer knyttet til kunstig intelligens. Disse må håndteres for å sikre trygg, ansvarlig, pålitelig og etisk utvikling, anvendelse og bruk. Det er her ISO/IEC 42001-standarden for styringssystemer for kunstig intelligens kommer inn. Den er en anerkjent grunnpilar for å styre utviklingen og levere pålitelige AI-løsninger.

Til tross for at AI har eksistert en stund nå, er det først i det siste at den virkelig har blitt omfavnet med entusiasme. En nylig ViewPoint-undersøkelse utført av DNV viste at en betydelig andel av selskapene (58 %) ennå ikke har implementert AI-teknologi, og at mer enn 70 % av selskapene er i startfasen av AI-reisen. Tallene understreker at AI ennå ikke er en strategisk prioritet for de fleste.

Mange av selskapene som svarte på undersøkelsen, er kanskje nybegynnere når det gjelder kunstig intelligens, men de er ikke nye virksomheter i den vanlige betydningen av begrepet. De e er heller ikke fremmed for behovet for, eller fordelene med, styring.

De har allerede implementert et styringssystem som er i samsvar med minst én ISO-standard, for eksempel ISO 9001 (kvalitet), ISO 14001 (miljø) eller ISO/IEC 27001 (informasjonssikkerhet). Men spesielt de som befinner seg i en tidlig fase, har ennå ikke sett behovet for å bruke samme tilnærming på AI-reisen.

Det økende behovet for styring

Det vi kan kalle "oppstartsbedrifter", fokuserer først og fremst på å bruke kunstig intelligens til å øke effektiviteten og forbedre interne prosesser.

Dette er et vanlig første skritt på grunn av den relativt enkle naturen til løsningene, som Copilot og ChatGPT, og implementeringen av dem. Etter hvert som selskapene blir mer modne, skjer det imidlertid et skifte mot eksterne, mer komplekse AI-initiativer, som tar sikte på å generere inntekter og utforske nye forretningsmuligheter. Med utviklingen følger også et økt behov for strukturert styring, for å sikre best mulig risikokontroll og trygg, pålitelig og etisk utvikling, implementering og bruk av kunstig intelligens.

Reguleringene rundt kunstig intelligens blir stadig strengere, og selskapene må vise at de etterlever dem. I tillegg er det en iboende skepsis blant brukerne, noe som skaper en tillitskløft som må bygges bro over. For å kunne stole på og utnytte en teknologi må vi forstå hvordan den fungerer, og vi må kunne vurdere dens sikkerhet, pålitelighet og åpenhet. Dette problemet belyses i en rapport fra mars 2024 fra AI Assurance Club med tittelen AI Governance and Assurance Global Trends 2023-24. Rapporten beskriver globale trender og lovgivningsutvikling over hele verden. Når det gjelder tillit, heter det i rapporten: "I sentrum av puslespillet om AI-styring står spørsmålet om tillit. Etter hvert som AI-systemer blir mer integrert i livene våre - i infrastruktur, forretningsprosesser, offentlige tjenester eller i forbruksvarer - må brukerne ha tillit til at systemene alltid fungerer etter hensikten, uten å forårsake skade."

Å bygge bro over gapet

Tillitsgapet refererer til den potensielle mangelen på tillit til, og åpenhet rundt, en organisasjons AI-aktiverte produkter og/eller tjenester. Hvis et sykehus, for eksempel, bruker AI-aktivert diagnostikk, kan jeg som pasient stole på at den er like god, eller til og med bedre enn den vurderingen som legen gjør alene? For å bygge bro over tillitsgapet før AI-systemene blir for komplekse og autonome, kreves det sterk styring.

Å bygge tillit er et sentralt element i alle ISO-standardene for styringssystemer Det et bør derfor ikke overraske at den samme tilnærmingen kan brukes når det gjelder AI. ViewPoint-undersøkelsen avslørte at de fleste av selskapene som leder an i utviklingen og implementeringen av AI, allerede vurderer å innføre et AI-styringssystem for å sikre god styring, og de kjenner allerede til ISO/IEC 42001-standarden.

Det finnes allerede flere rammeverk og utfyllende standarder for AI, blant annet NIST AI Risk Management Framework, ISO/IEC 23894 AI-veiledning om risikostyring, ISO/IEC 5338 AI-systemets livssyklusprosess og ISO/IEC TS 25058. I desember 2023 lanserte ISO standarden ISO/IEC 42001 for styringssystemer for kunstig intelligens (AIMS). Dette er den første sertifiserbare AIMS-standarden, som gir en robust tilnærming til håndtering av de mange mulighetene og risikoene knyttet til AI i en organisasjon. Denne standarden hjelper derfor selskaper med å ta et skritt videre i arbeidet med å bygge bro over tillitsgapet.Samsvar vil resultere i et sertifikat utstedt av et uavhengig tredjeparts sertifiseringsorgan, som DNV. Ettersom den bygger på ISO High Level Structure (HLS), kan den dessuten enkelt integreres med andre styringssystemer.

ISO/IEC 42001 er bygget opp rundt de samme høynivåstrukturene som andre ISO-ledelsesstandarder, og vil derfor være kjent for virksomheter som allerede har et annet ISO-ledelsessystem på plass. ISO/IEC 42001 følger "Plan-Do-Check-Act"-metodikken og spesifiserer krav og fokuserer på etablering, implementering, vedlikehold og kontinuerlig forbedring av et AI-styringssystem. Alle respondentene i ViewPoint-undersøkelsen pekte på cybersikkerhet som den største trusselen mot deres AI-implementering, og det kan derfor være svært fordelaktig å integrere et ISO/IEC 27001-kompatibelt styringssystem for informasjonssikkerhet.

Å bygge tillit

ISO/IEC 42001-standarden vil utvilsomt få enda større betydning etter hvert som flere og flere land innfører reguleringer for kunstig intelligens. Det finnes allerede forskrifter og retningslinjer i USA og Kina. I Europa trådte verdens første omfattende AI-lov, EU AI ACT, nylig i kraft. Loven har som mål å fremme og sikre en trygg, sikker, pålitelig og etisk utvikling av AI-systemerEtablering av eierstyring og selskapsledelse for AI fremstår som et viktig aspekt for å sikre etterlevelse av regelverket, og bygge tillit.

Å bygge opp en sentralisert kjernefunksjon på tvers av mange team som anerkjenner og forstår AI-teknologier, brukstilfeller og leverandører, er sentralt for å sikre styring av AI. På grunn av den stadige utviklingen på AI-feltet og det skiftende regelverket, vil det dessuten være nødvendig at en identifisert styringskomité og interessenter gjennomgår og oppdaterer AI-styringsprogrammet med jevne mellomrom. Her ligger en annen fordel ved å implementere et ISO/IEC 42001-kompatibelt styringssystem, og få det sertifisert.

En strukturert tilnærming til styring og ansvarlig bruk av kunstig intelligens kan i siste instans være et konkurransefortrinn.Det vil hjelpe enhver bedrift å vise interne og eksterne interessenter at virksomheten har en robust tilnærming for å beskytte brukerne, og kontinuerlig forbedre seg. Et sertifisert styringssystem viser at bedriften forplikter seg til - og iverksetter tiltak hver dag for - å sikre trygg, pålitelig og etisk utvikling, implementering og bruk av kunstig intelligens i sine prosesser, og i sitt produkt- og tjenestetilbud.

Hvorfor AI-reisen trenger strukturert styring

Det økende behovet for styring

Å bygge bro over gapet

Å bygge tillit

Opplæring i ISO/IEC 42001-styringssystem

ISO/IEC 42001 Artificial Intelligence Management System AIMS Internal Auditor Course