Что советы директоров должны требовать от ИИ-агентов: оценка, аудит и гарантии

Автор: Эрика Филле Т. Легара

В ПРЕДЫДУЩЕЙ статье BusinessWorld я утверждала, что управление ИИ выходит за рамки надзора за несколькими технологическими проектами и теперь включает в себя обеспечение того, чтобы решения с использованием ИИ во всей организации оставались согласованными со стратегией, склонностью к риску и этическими стандартами. Естественный последующий вопрос для советов директоров: помимо установления ожиданий, как организация проверяет, что её системы ИИ действительно работают по назначению, ответственно и в пределах определённых границ?

Ответ лежит в трёх связанных, но различных дисциплинах: оценка рисков ИИ, аудит ИИ и обеспечение гарантий ИИ. Советы директоров, знакомые с финансовым надзором, найдут эту логику интуитивной. Задача и возможность заключаются в применении той же дисциплины к ИИ.

3 РАЗЛИЧНЫХ, НО СВЯЗАННЫХ КОНЦЕПЦИИ
Важно точно понимать, что означает каждый термин, поскольку их часто используют взаимозаменяемо, хотя не следует.

Оценка рисков ИИ — это внутренний процесс, посредством которого организация выявляет, оценивает и расставляет приоритеты рисков, связанных с её системами ИИ. Он ставит вопросы о том, что может пойти не так, насколько это вероятно и каковы будут последствия. Это основа, на которой держится всё остальное. Без достоверной оценки рисков ни аудит, ни обеспечение гарантий не имеют значимой базы для работы. Существенные системы ИИ существуют во всех секторах: модель кредитного скоринга в банке, инструмент сортировки пациентов в больнице, предиктор успеваемости студентов в университете, система приоритизации дел в государственном учреждении. Что их объединяет — это последствия, которые включают результаты, влияющие на реальных людей значимым образом.

Для любой такой системы оценка рисков должна быть систематической, документированной и регулярно пересматриваемой по мере развития модели и изменения операционной среды.

Аудит ИИ — это независимая проверка того, соответствует ли система ИИ или структура управления, окружающая её, определённым стандартам, политикам или требованиям. Это процесс, основанный на доказательствах, проводимый стороной, достаточно независимой от тех, кто отвечает за проверяемую систему. Аудит ИИ может оценивать, соответствуют ли практики управления ИИ организации международно признанному стандарту, такому как ISO/IEC 42001, первому в мире стандарту системы управления ИИ, опубликованному в 2023 году, или работает ли конкретная модель в пределах утверждённых параметров и без непреднамеренной предвзятости. Важно отметить, что стандарт, регулирующий самих аудиторов, ISO/IEC 42006, опубликованный в июле 2025 года, теперь определяет компетенцию и строгость, требуемые от органов, которые проводят аудит и сертификацию систем управления ИИ. Другими словами, аудиторская профессия начинает формализовать свою собственную ответственность за взаимодействие с ИИ.

Обеспечение гарантий ИИ — это формальное, ориентированное на заинтересованные стороны заключение, которое возникает в результате этого процесса аудита. Это профессиональное мнение, выданное квалифицированной и независимой стороной, которое даёт советам директоров, регуляторам, инвесторам и общественности уверенность в том, что система ИИ или структура управления ИИ соответствуют определённому стандарту. Обеспечение гарантий — это то, что превращает внутреннюю проверку в достоверный внешний сигнал.

ОБОСНОВАНИЕ ОБЕСПЕЧЕНИЯ ГАРАНТИЙ ИИ
Концепция независимого обеспечения гарантий не нова для советов директоров. Каждый год внешние аудиторы проверяют финансовую отчётность организации и выдают заключение; вывод, основанный на доказательствах, проведённый в соответствии с международно признанными стандартами и подкреплённый профессиональной независимостью аудитора. Это заключение имеет вес именно потому, что регулирующая его структура строга и хорошо установлена. Эта логика применима независимо от отрасли; будь то банк, больница, конгломерат или государственное учреждение, финансовый аудит является знакомым и надёжным механизмом.

Та же логика теперь применяется к ИИ. Когда организация делает публичное или регулятивное заявление о своих системах ИИ, что они справедливы, прозрачны, соответствуют определённому стандарту или свободны от существенной предвзятости, возникает вопрос: кто независимо подтверждает это заявление и в рамках какой профессиональной структуры?

Ответом для бухгалтерской и аудиторской профессии является ISAE 3000, Международный стандарт по заданиям, обеспечивающим уверенность, выпущенный Международным советом по стандартам аудита и обеспечения уверенности (IAASB). ISAE 3000 регулирует задания по обеспечению уверенности в отношении вопросов, отличных от исторической финансовой информации, что делает его естественной основой для обеспечения гарантий ИИ. В соответствии с этим стандартом профессионал может провести либо задание по обеспечению разумной уверенности — более высокий стандарт, аналогичный финансовому аудиту, либо задание по обеспечению ограниченной уверенности, которое по глубине ближе к обзору. Выбор уровня имеет значение и должен быть осознанным, откалиброванным в соответствии с существенностью и риском рассматриваемой системы ИИ.

Близкая современная параллель — это обеспечение гарантий в области устойчивого развития или ESG. Многие компании, котирующиеся на Филиппинах, уже заказывают независимое обеспечение гарантий в отношении своих раскрытий по устойчивому развитию, часто в рамках ISAE 3000. Механизм точно такой же: независимый специалист проверяет набор заявлений в соответствии с определёнными критериями и выдаёт формальное заключение. Предмет отличается; профессиональная дисциплина — нет.

ЧТО ЭТО ОЗНАЧАЕТ ДЛЯ СОВЕТОВ ДИРЕКТОРОВ
Из этой структуры следуют три практических последствия.

Во-первых, советы директоров должны спросить, провели ли их организации строгую оценку рисков ИИ для существенных систем. Не разовое упражнение, а живой процесс, который обновляется по мере переобучения моделей, расширения вариантов использования и изменения регуляторной среды. Качество последующей работы по аудиту и обеспечению гарантий настолько же хорошо, насколько хороша предшествующая ей оценка рисков.

Во-вторых, советы директоров должны различать внутренний и внешний аудит ИИ. Функции внутреннего аудита играют критическую роль в обеспечении уверенности в том, что средства контроля ИИ работают так, как задумано. Однако советы директоров должны также рассмотреть, оправдан ли независимый сторонний аудит существенных систем ИИ, особенно для систем, которые влияют на клиентов, сотрудников или общественность значимым образом. Как и в случае с финансовым аудитом, независимость укрепляет доверие.

В-третьих, поскольку организации всё чаще берут на себя публичные обязательства относительно своих практик ИИ перед регуляторами, инвесторами и сообществами, которым они служат, советы директоров должны спросить, подкреплены ли эти обязательства достоверными гарантиями. Утверждения без независимой проверки, в лучшем случае, являются репутационным риском, ожидающим материализации.

ПРОФЕССИЯ, ВСЁ ЕЩЁ РАЗВИВАЮЩАЯ СВОИ ВОЗМОЖНОСТИ
Было бы неполным представить эту картину, не признав её текущих ограничений. Инфраструктура для обеспечения гарантий ИИ всё ещё строится. Профессиональные стандарты появляются. Компетенции аудиторов в области ИИ, охватывающие машинное обучение, алгоритмическую предвзятость, управление данными и прозрачность моделей, ещё не развиты единообразно по всей профессии. ISAE 3000 обеспечивает структуру гарантий, но специфичные для ИИ методологии, которые находятся в её рамках, всё ещё развиваются.

Для организаций, ещё не готовых к формальному обеспечению гарантий, это не повод стоять на месте. Структурированная, регулярная оценка существенных систем ИИ — это значимый и практичный первый шаг. Он формирует внутреннюю дисциплину, документацию и привычки управления, которые в конечном итоге требуются для готовности к обеспечению гарантий. Советы директоров, которые заказывают такие оценки сегодня, даже неформально, развивают институциональную мощь, которая будет иметь значение, когда регуляторные ожидания ужесточатся, а контроль заинтересованных сторон усилится.

Этот взгляд — один из тех, который я глубже исследовала в исследовании, которое разрабатываю с коллегами, изучая управление генеративным ИИ в экономиках, где регулирование ещё не догнало технологии. Центральный аргумент заключается в том, что фирмы уже являются моральными агентами с существующими этическими обязательствами перед своими заинтересованными сторонами; ожидание специального законодательства по ИИ не является ни необходимым, ни достаточным для ответственного управления. Обязательство действовать уже существует. Что необходимо — это организационная воля для его операционализации.

Это не повод для советов директоров ждать более широкой повестки дня. Это повод задавать обоснованные вопросы сейчас своим внешним аудиторам, функциям внутреннего аудита и командам управления, чтобы, когда возможности профессии догонят спрос, их организации были готовы к значимому участию.

Финансовый аудит не возник полностью сформированным. Потребовались десятилетия установления стандартов, профессионального развития и суровых уроков из корпоративных неудач, чтобы независимый аудит стал тем достоверным институтом, которым он является сегодня. Обеспечение гарантий ИИ находится в сопоставимой ранней точке перегиба. Советы директоров, которые занимаются этим сейчас, задают более острые вопросы своим аудиторам, требуют больше, чем заявления руководства, и создают внутренние возможности до того, как регуляторы потребуют от них этого, не только снизят свою собственную подверженность риску. Они помогут сформировать то, как выглядит ответственная подотчётность ИИ для филиппинских организаций и более широкого региона.

Эрика Филле Т. Легара — физик, педагог и специалист по науке о данных и ИИ, работающая в правительстве, академии и промышленности. Она является первым управляющим директором и главным специалистом по ИИ и данным Образовательного центра исследований ИИ, а также доцентом и председателем Aboitiz по науке о данных в Азиатском институте менеджмента, где она основала и возглавляла первую в стране программу магистратуры по науке о данных с 2017 по 2024 год. Она является членом корпоративных советов директоров, членом Института корпоративных директоров, сертифицированным специалистом IAPP по управлению ИИ и соучредителем CorteX Innovations.