Navigering af AI-styring og -sikring: Argumentet for ISO/IEC 42001 AI ledelsessystem-certificering

Dette white paper beskriver behovet for, og hvordan din organisation kan udvikle, styre og løbende overholde både interne og eksterne krav for at fremme en vellykket implementering af AI i processer, produkter og tjenester.

Kunstig intelligens (AI) forandrer verden og skaber nye muligheder og udfordringer for virksomheder og samfundet som helhed. Med ankomsten af Generative AI ChatGPT og Copilot er brugen af AI i organisationer eksploderet. Succesfulde implementeringer viser, at AI kan fremme effektivitet, kvalitet, innovation og kundetilfredshed. Men enhver ny teknologi har sine risici. AI er fuld af potentielle udfordringer og usikkerheder, som skal håndteres og imødegås for at sikre en sikker, pålidelig og etisk udvikling, anvendelse og brug.

Her bliver et AI-ledelsessystem (AIMS) baseret på ISO/IEC 42001-standarden afgørende for, at organisationer kan styre deres AI-arbejde. En struktureret tilgang tvinger dig til at »tænke, før du handler« og løbende vurdere præstationer og resultater. Denne grundlæggende standard for AI-styring, risikostyringstilgang og tredjepartscertificering er allerede anerkendt som en grundlæggende faktor for at styre udviklingen og levere pålidelige AI-løsninger.

Behovet for sikker og ansvarlig brug af AI

Behovet for pålidelig AI er drevet af brugen og anvendelse af de mange applikationer, interessenternes voksende bevidsthed og forventninger og det etiske og lovgivningsmæssige landskab, der er under udvikling. Derfor kan organisationer ikke udnytte fordelene ved AI, medmindre tilliden mellem udviklere og brugere af AI styrkes. Denne mistillid refererer til den potentielle mangel på tillid og gennemsigtighed i din organisations AI-aktiverede produkter og/eller tjenester. Når det f.eks. er uklart for brugerne, hvordan AI-systemer træffer beslutninger, fører det til usikkerhed og skepsis omkring sikkerhed, etiske overvejelser, beskyttelse af persondata og generel troværdighed. Kort sagt er vores tillid til en teknologi baseret på vores evne til fuldt ud at forstå dens anvendelse og få sikkerhed for, at den er sikker og pålidelig.

Denne mistillid er afgørende for at kunne kommercialisere og skalere AI-produkter og -tjenester. Det kræver, at du sørger for en sikker, ansvarlig, pålidelig og etisk implementering af AI. Desuden skal både interne interessenter, som f.eks. medarbejdere og ledelse, og eksterne interessenter, som f.eks. kunder og aktionærer, have sikkerhed for dette.

At opnå og demonstrere dine løsningers troværdighed kræver en systematisk tilgang, der dækker hele AI-livscyklussen fra interessentanalyse, passende beskyttelsesforanstaltninger (som etiske retningslinjer), prioritering af brugssager og risikoidentifikation, helt op til implementering af relevante kontroller. Når vi zoomer ind på mistilliden, kan vi identificere klare behov og forventninger. Din organisation bør f.eks:

• Identificere og prioritere de områder og applikationer, hvor AI kan tilføre værdi og skabe effekt, og forstå fordele og risici.
• Etablere og opretholde en kultur af tillid, gennemsigtighed og ansvarlighed i organisationer.
• Vurdere og måle AI-systemernes ydeevne og kvalitet og sikre, at de er i overensstemmelse med principperne for troværdighed, eksisterende eller kommende lovgivning og kundekrav.
• Organisere roller og ansvar i organisationer, hvilket er særligt kritisk i et teknologidomæne, der fortsætter med at udvikle sig.
• Vedtage og implementere processer baseret på standarder for best practice (f.eks. ISO/IEC 42001) for AI-udvikling, -implementering og -styring.
• Kommunikere AI-systemers troværdighed til interessenter og give bevis for og sikkerhed for overholdelse af best practice, love og regler.

Selvom det ikke er udtømmende, er dette en oversigt over centrale behov og forventninger. Ledelsessystemstandarden for kunstig intelligens ISO/IEC 42001 er designet til at give vejledning og struktur til effektivt at navigere i disse.

Standardiseringens rolle i styringen af AI

Enhver ny teknologi har sine risici. Det skiftende landskab inden for AI kombineret med det enorme potentiale for anvendelse på tværs af brancher øger dette endnu mere. Det er f.eks. umuligt at forudsige alle resultater i designfasen.

Det er i denne sammenhæng, at standarder for ledelsessystemer som ISO/IEC 42001 bliver særligt vigtige. Når der er behov for offentlig tillid, spiller standardisering og certificering en afgørende rolle. Sammen med juridiske, lovgivningsmæssige og etiske overvejelser giver standardisering et værktøj til at muliggøre skalerbarhed, skabe sikkerhed og guide organisationer ind i det ukendte territorium, som AI er i øjeblikket.

Standarder etablerer vigtig terminologi, fremmer industriledede normer og indfanger best practice til vurdering og forbedring. Ved at skabe klarhed og ansvarlighed vil standarder, der er målrettet AI-management, bidrage væsentligt til samfundets accept. De udgør et fundament for overholdelse af lovgivning og vedtagelse i branchen og fremskynder evnen til at udnytte AI's globale potentiale på en sikker, ansvarlig og etisk måde og sikrer den nødvendige gennemsigtighed, tillid og sikkerhed blandt brugere og andre interessenter.

AI-ledelsessystemernes rolle

Standarder for ledelsessystemer og certificering kan fungere som et solidt fundament for organisationer til at samle deres styring omkring AI (se figur 1). Den internationale standard for AI-ledelsessystemer ISO/IEC 42001 giver vejledning og krav til organisationer, der udvikler, implementerer eller bruger AI-systemer.

Denne længe ventede standard blev offentliggjort i slutningen af 2023 og er anvendelig og beregnet til brug på tværs af brancher og af organisationer af enhver type og størrelse, der er involveret i udvikling, levering eller brug af produkter og/eller tjenester, der bruger AI-systemer. Da det er en ISO-standard, er den kompatibel med og supplerer andre klassiske ISO-ledelsessystemstandarder, såsom ISO 9001 (kvalitet) og ISO/IEC 27001 (informationssikkerhed). ISO/IEC 42001 finder en balance mellem at fremme AI-innovation og implementere effektiv styring.

Det betyder, at du kan trække på og bygge videre på ethvert eksisterende ledelsessystem og generel processtyring. Det sikrer en omfattende tilgang til at styre, hvordan du gør AI til en integreret del af produkter, tjenester eller endda interne applikationer.

I figuren nedenfor placerer vi ISO/IEC 42001 som et processtyringsværktøj i 'Assurance Pyramiden'. I pyramidens fundament finder man organisationens grundlæggende infrastruktur. Alt det, der skal være på plads, for at organisationen kan fungere. For at kunne styre og forbedre vælger mange organisationer at implementere kvalitetsledelsessystemer (ISO 9001), informationssikkerhed (ISO/IEC 27001) eller andre standarder for ledelsessystemer. Certificering er derefter metoden til at demonstrere overensstemmelse over for forskellige interessenter.

Da ISO/IEC 42001 følger en lignende struktur som de andre ISO-ledelsessystemstandarder, gør den det lettere at supplere dit ledelsessystem med kravene til AI-ledelsessystemet. På den måde danner din processtyring grundlaget for at designe, opbygge og bruge pålidelige AI-systemer.

Formålet med ISO/IEC 42001 er at:

• Give en ramme og en metode til at etablere, implementere, vedligeholde og forbedre et AI-ledelsessystem, der dækker hele AI-livscyklussen. Hvor det tager en risikobaseret tilgang.
• Muliggøre demonstration og kommunikation af pålideligheden af en organisations AI-systemer og -processer.
• Hjælpe med at overholde regler og love, hvilket bliver mere kritisk med stigende nationale og internationale regler som f.eks. den europæiske AI-lov, der trådte i kraft forventes i august 2024.
• Lette interoperabiliteten og integrationen af AI-systemer og -processer.
• Fremme samarbejde og koordinering mellem interessenter.
• Støtte innovation og forbedring af AI-systemer og -processer.
• Tilskynde til vedtagelse og udbredelse af best practice og standarder for AI-ledelse.

Forholdet mellem ISO/IEC 42001 og AI-love og -forordninger forventes at være synergisk og gensidigt fordelagtigt. Mens EU's AI-lov har et markant produktfokus, giver vedtagelsen af et AI-ledelsessystem et grundlag for at opbygge og levere konsistente og forudsigelige pålidelige AI-systemer, og standardens kontroller er i overensstemmelse med, hvad reglerne kræver at overholde.

I sidste ende vil et velimplementeret ledelsessystem, der overholder alle relevante standarder, sikre integritet, privatlivets fred og etisk brug af data, samtidig med at det er fleksibelt nok til at integrere stigende krav fra kunder, teknologiske fremskridt, juridiske og lovgivningsmæssige instanser og så videre.

Hvad er vejen frem?

For at starte processen med at indføre et ledelsessystem, der er certificeret i henhold til ISO/IEC 42001, kan du bruge DNV's artikel "8 trin til certificering af ISO/IEC 42001-ledelsessystem" og selvelavueringsværktøj, der følger med, som vejledning. Processen starter med en gennemgang af den øverste ledelse for at identificere de vigtigste grunde til at indføre et AI-ledelsessystem (AIMS). Herefter skal organisationen sætte sig ind i ISO/IEC 42001-standarden og fastlægge en strategisk retning, der matcher de identificerede mål.

De følgende trin omfatter planlægning og ressourceallokering, forståelse og kortlægning af nøgleprocesser og identifikation af behov for uddannelse af personale. Forberedelse, udvikling og implementering af relevante processer og procedurer er typiske trin, og det er vigtigt at anvende interne audits og ledelsesgennemgange, der kontrollerer systemets effektivitet undervejs. Brug af DNV's selvevalueringsværktøj vil hjælpe med at identificere huller i forhold til standardkravene og muliggøre en fokuseret tilgang til at opfylde ISO/IEC 42001-kravene.

Hvorfor vælge DNV?

Som et af verdens førende certificeringsorganer er DNV den valgte partner for 80.000 virksomheder verden over, når det gælder certificering af ledelsessystemer og uddannelse. Vi har unikke kompetencer, branchekendskab og evner, der er relevante for AI og andre ledelsessystemer. Når du vælger DNV, får du:

• Global aktør inden for informationssikkerhed og sikring af privatlivets fred: Vi har en robust track record inden for certificering og uddannelse i informationssikkerhed og beskyttelse af personlige oplysninger, som er afgørende at integrere i din AI-styring.
• Risikobaseret certificering™: Vi anvender en proaktiv risikobaseret tilgang til certificering, hvilket betyder, at vi kan hjælpe organisationer med at identificere potentielle risici i deres AI-systemer på et tidligt tidspunkt for at sikre, at de håndteres, før de bliver et problem.
• Lumina™: Dette er vores datasmarte benchmarkværktøj, der giver dybere indsigt og analyser i ledelsessystemet, fra de mest almindelige fejl og rettelser til et fuldt overblik over alle virksomhedens sites og sammenligninger med jævnaldrende.
• Uddannelse: Digitale løsninger, der hjælper din virksomhed med at styre og sikre ensartet bevidsthed og kompetenceudvikling af medarbejdere på tværs af hele organisationen.
• Kompetente auditorer med en pragmatisk tilgang, der lytter til kundens behov og samtidig sørger for at vurdere, om standarden overholdes. 
• Kundestyringsprocesser, der er struktureret til at levere en overlegen kundeoplevelse.

DNV er dedikeret til at levere pålidelige og værdiskabende certificeringsydelser inden for AI. Med udgangspunkt i vores uafhængighed, tredjepartsrolle og princip om ikke at gå på kompromis med kvalitet og integritet, samarbejder vi med kunder for at hjælpe dem med at navigere i kompleksiteten af AI og relaterede udfordringer med tillid og sikre den nødvendige styring for at levere IA-systemer, som man har tillid til er sikre, pålidelige og trygge.