Model governance wokół AI - stan obecny i wyzwania na najbliższe lata

Dynamiczny rozwój technologii oraz dostęp do zasobów danych o coraz lepszej jakości, które są potrzebne w procesie tworzenia narzędzi opartych o sztuczną inteligencję spowodowały, że punkt nacisku dotyczący przeznaczenia tych narzędzi uległ zmianie. Początkowo organizacje skupiały się na punktowym zastosowaniu AI, często w celu automatyzacji rutynowych zadań. Obecnie automatyzacja powtarzalnych zadań nie jest już najważniejszym priorytetem. Zaledwie 25% ankietowanych przedsiębiorstw w ramach PwC 2021 AI Predictions wskazało to jako najważniejszy priorytet w stosunku do 35% w ramach poprzedniej edycji tego badania.² Odejście od wykorzystania AI na potrzebę wybranych obszarów (silosów) i przejście na “cross-funkcjonalne” zastosowanie, które dotyka wielu aspektów działalności przedsiębiorstwa, stanowi naturalną ścieżką rozwoju w wykorzystywaniu AI i może być elementem strategicznym w realizacji wizji przedsiębiorstwa opisującej, w jaki sposób dana organizacja ma działać w przyszłości. Często wpływ jest tak ogromny, że wiąże się z reorganizacją całego przedsiębiorstwa, a nawet zmianą modelu biznesowego.

Organizacje dostrzegają potrzebę właściwego AI governance i zarządzania ryzykiem wykorzystywania AI

Powszechniejsze wykorzystanie AI jest procesem, który wymaga odpowiedniej strategii, planu i organizacji (operacjonalizacji). W ramach tego procesu, przedsiębiorstwa zaczęły zwracać również uwagę na zagadnienia związane z ryzykiem korzystania z AI, a co za tym idzie, odpowiednimi działaniami, aby tym ryzykiem zarządzać (governance). Kolejna kwestia, która stała się niezwykle istotna, to analiza interakcji między AI a interesariuszami (np. klientami zewnętrznymi). Mowa tutaj o podejmowaniu kroków, które pomogą zapewnić, aby rozwijane systemy sztucznej inteligencji były: odpowiedzialne, godne zaufania, stabilne i uczciwe - w skrócie: wiarygodne i przewidywalne. W PwC nazywamy takie rozwiązania: Responsible AI.

Wśród najważniejszych działań, jakie podejmowane są przez organizacje, które dostrzegły istotność zagadnienia odpowiedzialnej sztucznej inteligencji są m.in.:

Projekt unijnego rozporządzenia w zakresie AI

Zasadność zapewnienia odpowiedniego poziomu wiarygodności i przewidywalności systemu sztucznej inteligencji i ochrony praw użytkowników wchodzących z nim interakcję zauważyła Unia Europejska, która opublikowała w kwietniu 2021 r. projekt Rozporządzenia Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji.³ Zaproponowany projekt ma charakter regulacyjny i kładzie nacisk na zapewnienie, aby wprowadzone do obrotu i użytkowane systemy AI były bezpieczne i zgodne z obowiązującymi przepisami w obszarze praw podstawowych i wartości unijnych oraz aby przepisy i wymogi bezpieczeństwa wobec AI były skuteczne egzekwowane. Oprócz tego, celem projektu jest ułatwienie rozwoju jednolitego, bezpiecznego i wiarygodnego rynku oraz wsparcie innowacyjności.

Swoim zakresem projekt rozporządzenia obejmuje następujące aspekty:

Przygotowany projekt regulacji dotyczy nie tylko tych systemów, które zostały stworzone i wprowadzone do obrotu na terenie UE, ale także takich, których wyniki wykorzystywane są na terenie UE, pomimo że dostawcy i użytkownicy systemu AI znajdują się poza Unią. 

Z punktu widzenia wielu podmiotów, kluczowym zagadnieniem jest definicja systemu sztucznej inteligencji wysokiego ryzyka. Przyjęte w projekcie podejście zakłada, że klasyfikacja zależy nie tylko od funkcji jaką pełni dany system AI, ale także od konkretnego celu i trybu jego wykorzystywania. Za systemy AI wysokiego ryzyka uznaje się systemy służące m.in. do: identyfikacji i kategoryzacji biometrycznej osób, zarządzania infrastrukturą krytyczną, wsparcia w ściganiu przestępstw i sprawowania sprawiedliwości, zarządzania migracją i azylem, a także zarządzania dostępem do: edukacji, usług publicznych i prywatnych (w tym systemy wyznaczające zdolność kredytową).

Przygotowany projekt nakłada wiele obowiązków w zakresie systemów AI, które zostaną zaklasyfikowane jako systemy wysokiego ryzyka. Obowiązki dotyczą różnych uczestników rynku (dostawców, importerów, dystrybutorów, użytkowników) i związane są m.in. z koniecznością wdrożenia systemu zarządzania ryzykiem czy też przestrzegania szeregu zasad w całym cyklu życia rozwiązania: od projektu po jego wdrożenie i utrzymanie (np. zapewnienie respektowania praw jednostki (privacy), kryteria jakości danych wykorzystywanych do trenowania i walidacji modeli, rejestry zdarzeń, wymogi przejrzystości i możliwości nadzoru ze strony człowieka oraz podleganie ocenie i nadzorowi ze strony właściwych organów notyfikujących). W przypadku pozostałych systemów AI - innych niż wysokiego ryzyka - rozporządzenie zakłada możliwość tworzenia kodeksów postępowania. 

Przewidziane zostały także kary związane z naruszeniem rozporządzenia w wysokości nawet do 30 mln euro lub 6% całkowitego rocznego światowego obrotu danego przedsiębiorstwa.

Następne kroki

Z uwagi na rosnący udział i poziom skomplikowania wykorzystywanych systemów sztucznej inteligencji, nacisk na właściwy governance i przestrzeganie zasad etycznych będzie rósł - nawet jeżeli formalnie nie będą obowiązywać jeszcze żadne regulacje. 

Wczesne rozpoczęcie analizy wpływu gotowości i dojrzałości systemów, procesów, mechanizmów kontrolnych i innych komponentów ładu organizacyjnego może pomóc w planowaniu przyszłych inwestycji i ograniczeniu kosztów związanych ze zbyt późnym wdrażaniem koniecznych zmian. Warto przy tej okazji odpowiedzieć sobie na poniższe pytania w danym kontekście:

• Dane: Czy organizacja posiada zasób danych lub dostęp do danych o jakości odpowiadającej celom systemu AI? Czy Twoja organizacja posiada odpowiednie mechanizmy zarządzania danymi wejściowymi i kontrolą wyboru zestawu danych?

• Modele i algorytmy: Czy w Twojej organizacji istnieje nadzór nad rozwojem modelu? Czy proces i wyniki są przejrzyste? Czy wzięto pod uwagę ryzyko dotyczące stronniczości algorytmu?

• Wyniki i decyzje: Czy istnieje proces ciągłej weryfikacji wyników modelu pod kątem zapewnienia dokładności i zgodności z pierwotnym jego celem?

• Nadzór i monitorowanie: Jakie organy nadzoru są zaangażowane w zarządzanie AI? Jakie działania monitorujące są podejmowane?

• Uczenie maszynowe: Czy kierownictwo ma pewność co do procesów i metod uczenia maszynowego na wszystkich jego etapach?

• Wpływ na biznes i sprawozdawczość: Modele danych wpływają na sprawozdawczość finansową, decyzje operacyjne i interakcje z klientami. Czy Twoja organizacja jest na to gotowa?

W związku z tym, że nadal trwają prace legislacyjne nad ostatecznym kształtem rozporządzenia unijnego, jego treść może ulec zmianie. Jednakże, z dużym prawdopodobieństwem można przyjąć, że ogólne ramy i założenia dotyczące podejścia do AI governance pozostaną niezmienne. Z pewnością sama regulacja będzie miała duży wpływ na rynek i jak już zostało podkreślone, nacisk i oczekiwania interesariuszy w zakresie wdrożenia i stosowania odpowiedniego modelu zarządzania, będą z biegiem czasu rosły.

<sup>1. Responsible AI – Maturing from theory to practice, PwC, 2021. 
2. AI Predictions 2021, PwC, 2021; w ramach badania badania analizowane są działania i postawy amerykańskich dyrektorów biznesowych i technologicznych, którzy są zaangażowani w strategie AI swoich organizacji. 
3. https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52021PC0206</sup>