Ce ar trebui să solicite consiliile de administrație de la AI: evaluare, audit și asigurare

De Erika Fille T. Legara

ÎNTR-UN ARTICOL ANTERIOR din BusinessWorld, am susținut că guvernanța AI depășește supravegherea unui grup de proiecte tehnologice și acum include asigurarea faptului că deciziile activate de AI din întreaga organizație rămân aliniate cu strategia, apetitul pentru risc și standardele etice. O întrebare firească de continuare pentru consilii este: dincolo de stabilirea așteptărilor, cum verifică o organizație că sistemele sale AI funcționează efectiv conform intenției, responsabil și în limitele definite?

Răspunsul constă în trei discipline legate, dar distincte: evaluarea riscurilor AI, auditul AI și asigurarea AI. Consiliile familiarizate cu supravegherea financiară vor găsi logica intuitivă. Provocarea, și oportunitatea, este aplicarea aceleiași discipline la AI.

3 CONCEPTE DISTINCTE DAR LEGATE
Ajută să fim precis cu privire la ce înseamnă fiecare termen, deoarece sunt adesea folosite interschimbabil când nu ar trebui să fie.

Evaluarea riscurilor AI este procesul intern prin care o organizație identifică, evaluează și prioritizează riscurile asociate cu sistemele sale AI. Întreabă ce ar putea merge greșit, cât de probabil este și care ar fi impactul. Aceasta este fundația pe care se sprijină tot restul. Fără o evaluare credibilă a riscurilor, nici auditul, nici asigurarea nu au o bază semnificativă de lucru. Sistemele AI materiale există în fiecare sector: un model de scoring de credit într-o bancă, un instrument de triere a pacienților într-un spital, un predictor al performanței studenților într-o universitate, un sistem de prioritizare a cazurilor într-o agenție guvernamentală. Ce au în comun este consecința, care include rezultate care afectează oameni reali în moduri semnificative.

Pentru orice astfel de sistem, evaluarea riscurilor ar trebui să fie sistematică, documentată și revizuită regulat pe măsură ce modelul evoluează și pe măsură ce mediul operațional se schimbă.

Auditul AI este examinarea independentă a faptului dacă un sistem AI, sau cadrul de guvernanță care îl înconjoară, este conform cu standardele, politicile sau cerințele definite. Este un proces bazat pe dovezi, efectuat de o parte suficient de independentă față de cei responsabili pentru sistemul în revizuire. Un audit AI ar putea evalua dacă practicile de management AI ale unei organizații sunt conforme cu un standard recunoscut internațional, cum ar fi ISO/IEC 42001, primul standard mondial pentru sistemul de management AI publicat în 2023, sau dacă un model specific performează în parametrii aprobați și fără prejudecăți neintenționate. Important, standardul care guvernează auditorii înșiși, ISO/IEC 42006, publicat în iulie 2025, stabilește acum competența și rigoarea necesare organismelor care auditează și certifică sistemele de management AI. Profesia de audit, cu alte cuvinte, începe să își formalizeze propria responsabilitate pentru angajamentele AI.

Asigurarea AI este concluzia formală, orientată către părțile interesate, care rezultă din acel proces de audit. Este opinia profesională, emisă de o parte calificată și independentă, care oferă consiliilor, autorităților de reglementare, investitorilor și publicului încrederea că un sistem AI sau un cadru de management AI îndeplinește un standard definit. Asigurarea este ceea ce transformă o revizuire internă într-un semnal extern credibil.

FUNDAMENTAREA ASIGURĂRII AI
Conceptul de asigurare independentă nu este nou pentru consilii. În fiecare an, auditorii externi examinează situațiile financiare ale unei organizații și emit o opinie; o concluzie bazată pe dovezi, efectuată în conformitate cu standardele recunoscute internațional și susținută de independența profesională a auditorului. Acea opinie are greutate tocmai pentru că cadrul care o guvernează este riguros și bine stabilit. Această logică se aplică indiferent de industrie; fie că organizația este o bancă, un spital, un conglomerat sau o instituție publică, auditul financiar este un mecanism familiar și de încredere.

Aceeași logică se aplică acum la AI. Când o organizație face o declarație publică sau de reglementare despre sistemele sale AI, că sunt corecte, transparente, conforme cu un standard definit sau lipsite de prejudecăți materiale, întrebarea este: cine validează independent acea declarație și în cadrul cărei structuri profesionale?

Răspunsul, pentru profesia de contabilitate și audit, este ISAE 3000, Standardul Internațional privind Angajamentele de Asigurare emis de Consiliul Internațional pentru Standardele de Audit și Asigurare (IAASB). ISAE 3000 guvernează angajamentele de asigurare asupra unor aspecte altele decât informațiile financiare istorice, făcându-l locul natural pentru asigurarea AI. Conform acestui standard, un profesionist poate efectua fie un angajament de asigurare rezonabilă, standardul superior analogic unui audit financiar, fie un angajament de asigurare limitată, care este mai aproape ca profunzime de o revizuire. Alegerea nivelului contează și ar trebui să fie deliberată, calibrată la materialitatea și riscul sistemului AI în cauză.

O paralelă contemporană apropiată este asigurarea sustenabilității sau ESG. Multe companii listate din Filipine comandă deja asigurare independentă asupra divulgărilor lor de sustenabilitate, adesea conform ISAE 3000. Mecanismele sunt exact aceleași: un practician independent examinează un set de declarații față de criterii definite și emite o concluzie formală. Subiectul diferă; disciplina profesională nu.

CE ÎNSEAMNĂ ACEST LUCRU PENTRU CONSILII
Trei implicații practice decurg din acest cadru.

În primul rând, consiliile ar trebui să întrebe dacă organizațiile lor au efectuat evaluări riguroase ale riscurilor AI pentru sistemele materiale. Nu un exercițiu unic, ci un proces viu care este actualizat pe măsură ce modelele sunt reantrenate, cazurile de utilizare se extind și mediul de reglementare evoluează. Calitatea lucrărilor de audit și asigurare ulterioare este doar la fel de bună ca evaluarea riscurilor care o precedă.

În al doilea rând, consiliile ar trebui să distingă între auditul AI intern și extern. Funcțiile de audit intern joacă un rol critic în furnizarea asigurării că controalele AI funcționează conform proiectului. Cu toate acestea, consiliile ar trebui să ia în considerare, de asemenea, dacă un audit independent de la o terță parte a sistemelor AI materiale este justificat, în special pentru sistemele care afectează clienții, angajații sau publicul în moduri consecvente. Ca și în cazul auditului financiar, independența întărește credibilitatea.

În al treilea rând, pe măsură ce organizațiile fac din ce în ce mai multe angajamente publice cu privire la practicile lor AI față de autorități de reglementare, investitori și comunitățile pe care le servesc, consiliile ar trebui să întrebe dacă acele angajamente sunt susținute de asigurare credibilă. Afirmațiile fără validare independentă sunt, în cel mai bun caz, un risc reputațional care așteaptă să se materializeze.

O PROFESIE CARE ÎȘI CONSTRUIEȘTE ÎN CONTINUARE CAPACITĂȚILE
Ar fi incomplet să prezentăm acest peisaj fără a-i recunoaște limitările actuale. Infrastructura pentru asigurarea AI este încă în curs de construcție. Standardele profesionale sunt în curs de apariție. Competențele auditorilor în AI, care acoperă învățarea automată, prejudecățile algoritmice, guvernanța datelor și transparența modelului, nu sunt încă dezvoltate uniform în întreaga profesie. ISAE 3000 oferă cadrul de asigurare, dar metodologiile specifice AI care se situează în interiorul acestuia sunt încă în curs de maturizare.

Pentru organizațiile care nu sunt încă pregătite să urmărească asigurarea formală, acesta nu este un motiv să stea pe loc. O evaluare structurată, regulată a sistemelor AI materiale este un prim pas semnificativ și practic. Construiește disciplina internă, documentația și obiceiurile de guvernanță pe care pregătirea pentru asigurare le necesită în cele din urmă. Consiliile care comandă astfel de evaluări astăzi, chiar și informal, dezvoltă mușchi instituțional care va conta când așteptările de reglementare se întăresc și examinarea părților interesate se intensifică.

Această perspectivă este una pe care am explorat-o mai profund în cercetările pe care le-am dezvoltat cu colegii, examinând guvernanța AI generativă în economiile în care reglementarea nu a ajuns încă din urmă tehnologia. Argumentul central este că firmele sunt deja agenți morali cu obligații etice existente față de părțile lor interesate; așteptarea unei legislații AI personalizate nu este nici necesară, nici suficientă pentru o guvernanță responsabilă. Obligația de a acționa este deja acolo. Ceea ce este necesar este voința organizațională de a o operaționaliza.

Acesta nu este un motiv pentru consilii să aștepte agenda mai largă. Este un motiv de a pune întrebări informate acum, auditorilor lor externi, funcțiilor lor de audit intern și echipelor lor de management, astfel încât atunci când capacitățile profesiei ajung din urmă cererea, organizațiile lor să fie pregătite să se angajeze semnificativ.

Auditul financiar nu a apărut complet format. A durat decenii de stabilire a standardelor, dezvoltare profesională și lecții dure din eșecurile corporative pentru ca auditul independent să devină instituția credibilă pe care o este astăzi. Asigurarea AI se află la un punct de inflexiune timpuriu comparabil. Consiliile care se angajează cu aceasta acum, pun întrebări mai ascuțite auditorilor lor, cer mai mult decât afirmații manageriale și construiesc capacități interne înainte ca autoritățile de reglementare să le ceară să facă acest lucru, nu doar își vor reduce propria expunere. Vor ajuta să modeleze cum arată responsabilitatea AI responsabilă pentru organizațiile filipineze și regiunea mai largă.

Erika Fille T. Legara este fizician, educator și practician în știința datelor și AI care lucrează în guvern, mediul academic și industrie. Este directorul general inaugural și director AI și de date al Centrului Educațional pentru Cercetare AI și profesor asociat și deținătorul catedrei Aboitiz în Știința Datelor la Institutul Asiatic de Management, unde a fondat și condus primul program MSc în Știința Datelor din țară din 2017 până în 2024. Servește în consiliile de administrație corporative, este membru al Institutului Directorilor Corporativi, un Profesionist Certificat IAPP în Guvernanța AI și co-fondator al CorteX Innovations.