Hvorfor AI-arbejdet har brug for struktureret styring

For mange virksomheder er kunstig intelligens (AI) det helt store emne i dag, og de fleste er ivrige efter at udforske de mulige fordele. Der er dog potentielle udfordringer og risici forbundet med AI, som skal håndteres for at sikre en sikker, ansvarlig, pålidelig og etisk udvikling, anvendelse og brug. Det er her, ISO/IEC 42001-standarden for ledelsessystemer for kunstig intelligens kommer ind i billedet som en anerkendt ramme for at styre udviklingen og levere pålidelige AI-løsninger.

På trods af at AI har eksisteret i nogen tid, er det først for nylig, at det er blevet taget imod med begejstring. DNV har for nylig foretaget en ViewPoint-undersøgelse, som viser, at en betydelig del af virksomhederne (58%) endnu ikke har implementeret AI-teknologier, og i alt er mere end 70%, hvad man kan betragte som begyndende på AI-rejsen. Tallene understreger, at AI endnu ikke er en strategisk prioritet for flertallet. 

Mange af de virksomheder, der svarede på undersøgelsen, er måske nybegyndere, hvad angår AI, men de er ikke virksomheder som er fremmede over for behovet for eller fordelene ved styring. De har allerede implementeret et ledelsessystem, der overholder mindst én ISO-standard, f.eks. ISO 9001 (kvalitet), ISO 14001 (miljø) eller ISO/IEC 27001 (informationssikkerhed). Men især dem, der befinder sig på et meget tidligt stadie, har endnu ikke set behovet for at anvende samme tilgang til deres AI-rejse. 

Det voksende behov for styring 

Det, vi kunne kalde »begyndende« virksomheder, fokuserer primært på at bruge AI til at øge effektiviteten og forbedre processerne internt. På grund af løsningernes relativt enkle funktion er det almindelige første skridt at bruge Copilot og ChatGPT og implementere dem. Efterhånden som virksomhederne modnes, sker der imidlertid et skift i retning af eksterne, mere komplekse AI-initiativer, der har til formål at generere indtægter og udforske nye forretningsmuligheder. Med fremskridtene følger et højere behov for struktureret styring for bedst muligt at kontrollere risici og sikre en sikker, pålidelig og etisk udvikling, implementering og brug af AI. 

Reguleringen omkring kunstig intelligens vokser, og virksomhederne skal vise, at de overholder den. Desuden er der en skepsis hos brugerne, som skaber en tvivl, der skal overvindes. For at kunne stole på og udnytte en teknologi skal vi forstå, hvordan den fungerer, og være i stand til at vurdere dens sikkerhed, pålidelighed og gennemsigtighed. Dette spørgsmål fremhæves i en rapport fra marts 2024 fra AI Assurance Club med titlen AI Governance and Assurance Global Trends 2023-24. Rapporten beskriver globale tendenser og lovgivningsudvikling over hele kloden. Med hensyn til tillid fastslår rapporten: "Spørgsmålet om tillid er et centralt spørgsmål om AI-styringspuslespillet. Efterhånden som AI-systemer bliver mere indlejret i vores liv - i infrastruktur, forretningsprocesser, offentlige tjenester eller i forbrugsvarer - skal brugerne have tillid til, at systemerne fungerer efter hensigten uden at forårsage problemer."

Standarden er mellemledet 

Den manglende tiltro henviser til den potentielle mangel på tillid til og gennemsigtighed omkring en organisations AI-aktiverede produkter og/eller tjenester. Hvis et hospital f.eks. bruger AI-aktiveret diagnostik, kan jeg så som patient stole på, at den er lige så god eller endda bedre end den vurdering, som lægen foretager alene? At skabe sammenhæng i tilliden, før AI-systemerne bliver for komplekse og autonome, kræver stærk styring. 

Opbygning af tillid er et centralt element i alle ISO-ledelsessystemstandarder, så det bør ikke være en overraskelse, at den samme tilgang kan anvendes, når det drejer sig om AI. ViewPoint-undersøgelsen viser, at de fleste af de virksomheder, der fører an i udviklingen og implementeringen af AI, allerede overvejer at indføre et AI-ledelsessystem for at sikre den rette styring, og de kender allerede til ISO/IEC 42001-standarden. 

Der findes allerede flere AI-rammer og supplerende standarder, herunder NIST AI Risk Management Framework, ISO/IEC 23894 AI-vejledning om risikostyring, ISO/IEC 5338 AI-systemets livscyklusproces og ISO/IEC TS 25058. I december 2023 lancerede ISO ISO/IEC 42001 AI management system standard (AIMS). Dette er den første certificerbare AIMS-standard, som giver en robust tilgang til at styre de mange AI-muligheder og -risici på tværs af en organisation. Denne standard hjælper derfor virksomheder med at tage det næste skridt i forhold til at reducere tillidsniveauet, da overholdelse af standarden resulterer i et certifikat udstedt af en uafhængig certificering som DNV. Da den bygger på ISO High Level Structure (HLS), kan den desuden nemt integreres med andre ledelsessystemer. 

ISO/IEC 42001 er opbygget baseret på de samme overordnede strukturer som andre ISO-ledelsesstandarder og vil derfor være velkendt for virksomheder, der har et andet ISO-ledelsessystem på plads.  Efter »Plan-Do-Check-Act«-metoden specificerer ISO/IEC 42001 krav og fokuserer på at etablere, implementere, vedligeholde samt løbende forbedre et AI-ledelsessystem. Når man ved, at alle besvarelserne i ViewPoint-undersøgelsen pegede på cybersikkerhed som den største trussel mod deres AI-implementering, kan det være en stor fordel at integrere med et ISO/IEC 27001-kompatibelt ledelsessystem for informationssikkerhed. 

Opbygge tillid

ISO/IEC 42001-standarden vil uden tvivl få endnu større betydning, efterhånden som flere lande indfører regler for kunstig intelligens. Der findes allerede regler og politikker i USA og Kina. I Europa er verdens første omfattende AI-lov, EU AI ACT, for nylig trådt i kraft. Loven har til formål at fremme og sikre en tryg, sikker, troværdig og etisk udvikling af AI-systemer. Etablering af AI-corporate governance er et centralt aspekt for at sikre overholdelse af lovgivningen og opbygge tillid. 

Det er afgørende at opbygge en central kernefunktion på tværs af mange teams, som anerkender og forstår AI-teknologier, use cases og udbydere for at sikre AI-styring. På grund af den konstante udvikling inden for AI og de skiftende lovgivningsmæssige rammer vil det desuden være nødvendigt, at en identificeret styringskomité og interessenter regelmæssigt gennemgår og opdaterer AI-styringsprogrammet. Heri ligger en anden fordel ved at implementere et ISO/IEC 42001-kompatibelt ledelsessystem, hvilket er at få det certificeret. 

En struktureret tilgang til styring og ansvarlig brug af AI kan i sidste ende være en konkurrencefordel og vil hjælpe enhver virksomhed med at demonstrere over for interne og eksterne interessenter, at virksomheden har en robust tilgang til at beskytte brugerne og løbende forbedre sig. Et certificeret ledelsessystem viser en virksomheds engagement og de handlinger, der udføres hver dag for at sikre en sikker, pålidelig og etisk udvikling, implementering og brug af AI i dens processer og produkt- og servicetilbud.