A medida que aumenta el uso de la IA, es lógico que las organizaciones se preocupen por cómo se está utilizando y para qué.

El poder de la IA (mayor eficiencia, reducción de errores humanos y la capacidad de analizar instantáneamente cantidades masivas de datos) es innegable. Sin embargo, si no se controla, tanto poder puede causar daños significativos a la organización en forma de violaciones de la privacidad, sesgos, alucinaciones y deriva del modelo.

No se puede volver a meter al genio en la botella, pero se pueden instituir prácticas de gobernanza de la IA para garantizar que la IA se utilice de forma responsable, transparente y justa, sin sacrificar la innovación tecnológica.

La buena noticia es que no es necesario reinventar la rueda para gobernar la IA de forma responsable. Al integrar la supervisión de la IA en su programa de GRC existente, puede avanzar rápido, generar confianza y reducir el riesgo.

¿Qué es la gobernanza de la IA?

La gobernanza de la IA es una metodología estructurada para mantener la supervisión del uso de la IA con el fin de protegerse contra los riesgos y garantizar que se mantengan los estándares éticos. Incluye las políticas, regulaciones y otras directrices que rigen el desarrollo, la implementación y el uso de la inteligencia artificial en toda la organización.

Riesgos de la IA

Alucinaciones: se sabe que la IA responde a preguntas con información inventada.

Sesgo: la IA utiliza información histórica para crear contenido nuevo. El problema es que lo que era aceptable en años pasados puede no coincidir con los estándares actuales.

Privacidad y seguridad de los datos: la IA captura todo lo que escribe en el mensaje e lo incorpora al modelo. Sea consciente de qué información está compartiendo con modelos no propietarios como ChatGPT.

Deriva del modelo: el rendimiento de un modelo de IA disminuirá con el tiempo a medida que cambien las condiciones.

Establezca sus cortafuegos

Es posible que ya tenga una base sólida en riesgo empresarial, cumplimiento y auditoría. Y ese es el lugar ideal para comenzar con la gobernanza de la IA. De hecho, la experta en riesgo operativo e invitada frecuente de Risk@Work, la Dra. Ariane Chapelle, advierte contra la creación de un marco de gobernanza separado para el riesgo de la inteligencia artificial. “Integre la IA en su marco de ERM. Intente tener el mismo marco para todos sus riesgos,” dice.

Aquí hay cinco formas de integrar la gobernanza de la IA en su programa de GRC actual.

1. Amplíe los programas de riesgo y cumplimiento para incluir los desafíos específicos de la IA. Sus programas de riesgo empresarial, cumplimiento y auditoría se pueden extender para gobernar los riesgos de la IA, como la deriva del modelo, el sesgo algorítmico, las brechas de explicabilidad y las demandas regulatorias en rápida evolución. El objetivo es evolucionar los marcos existentes, no reemplazarlos.

2. Integre la gobernanza en todo el ciclo de vida de la IA. La supervisión de la IA debe integrarse en cada fase del ciclo de vida, desde el desarrollo y la implementación del modelo hasta las operaciones en curso. Esto incluye la incorporación de controles de riesgo, puntos de control de validación y estándares de documentación desde el principio, con mecanismos establecidos para monitorear el rendimiento y el cumplimiento a lo largo del tiempo.

3. Pase de las revisiones periódicas a la supervisión continua. Los sistemas de IA se adaptan en tiempo real y la supervisión debe mantener el ritmo. Sus prácticas de gobernanza deben respaldar la evaluación continua a través de sprints de riesgo, monitoreo en tiempo real, alertas de rendimiento y otros mecanismos. Esto permite a los equipos identificar y resolver problemas antes de que se conviertan en riesgos comerciales.

4. Defina la rendición de cuentas en todas las líneas de defensa. La gobernanza de la IA funciona mejor cuando las responsabilidades están claramente definidas en los equipos legal, de cumplimiento, de auditoría, de ciencia de datos y de negocios. La integración de la gobernanza en las funciones existentes fomenta la propiedad, la coherencia y la alineación con las estrategias de riesgo empresarial.

5. Demuestre que tiene el control de la IA. Los reguladores, los clientes y los consejos quieren pruebas de que la IA se está utilizando de forma responsable. Demostrar el control significa más que documentar las políticas: requiere visibilidad en tiempo real, trazabilidad y la capacidad de demostrar que los sistemas de IA están funcionando según lo previsto. Las organizaciones que puedan demostrar que tienen el control de su IA estarán en una mejor posición para ganarse la confianza, reducir el riesgo y acelerar la adopción.

Según una reciente encuesta de Riskonnect, el 80% de las organizaciones no tiene un plan específico para abordar los riesgos de la IA generativa.

No espere

Los reguladores ya están tomando medidas para garantizar que la IA se utilice de forma segura. La Ley de IA de la UE, por ejemplo, exige que cualquier empresa que opere dentro de la Unión Europea se adhiera a normas específicas para garantizar que el uso de la IA sea responsable, transparente y por adelantado. La regulación clasifica el uso de acuerdo con el potencial de daño y prohíbe por completo ciertos usos de la IA por considerarlos inaceptablemente peligrosos. Las multas por incumplimiento son elevadas.

Regulaciones globales importantes sobre la IA

ISO 42001 Sistemas de gestión de la IA ayuda a las organizaciones a utilizar, desarrollar, supervisar o proporcionar de forma responsable productos o servicios que utilizan la IA.

Ley de Inteligencia Artificial de la UE regula los sistemas de IA en función de los riesgos potenciales y el impacto en la sociedad.

NIST IA confiable y responsable NIST AI 600-1 es una guía voluntaria para ayudar a las organizaciones a identificar, evaluar y mitigar los riesgos asociados con los sistemas de IA.

Evitar las multas es ciertamente una razón convincente para establecer la gobernanza de la IA. Pero demostrar el cumplimiento a los reguladores es solo un factor. Considere el impacto de tomar una decisión estratégica importante basada en datos alucinados no detectados. ¿Qué pasaría con su posición competitiva si un empleado cargara secretos comerciales en ChatGPT para escribir una presentación más rápido?

Simplemente marcar la casilla de cumplimiento no le protegerá. Se deben establecer cortafuegos en torno a la privacidad, la seguridad y la ética de los datos para defender la cultura, las expectativas y los estándares de la organización. Evolucione su programa de GRC para adaptarse a estos cortafuegos. Y utilice herramientas tecnológicas para comunicar de forma fácil y coherente las expectativas, aplicar las políticas, supervisar las acciones y realizar un seguimiento de las métricas.

La gobernanza de la IA no puede residir en una sola persona o departamento. Es una responsabilidad colectiva, donde cada parte interesada prioriza la rendición de cuentas y garantiza que los sistemas de IA se utilicen de forma responsable y transparente en toda la organización. Un programa sólido de gobernanza de la IA le ayudará a lograr el equilibrio adecuado entre minimizar el riesgo y fomentar la innovación, al tiempo que sigue capitalizando todos los beneficios que aporta la IA.

Para obtener más información sobre cómo crear un programa de GRC sólido, descargue el libro electrónico Gobernanza, riesgo y cumplimiento: la guía definitiva, y consulte la solución de software de gobernanza de la IA de Riskonnect.