Com o aumento da utilização da IA, as organizações têm razão em preocupar-se com a forma como está a ser utilizada e para que fins.
O poder da IA – maior eficiência, redução do erro humano e a capacidade de analisar instantaneamente enormes quantidades de dados – é inegável. No entanto, sem controlo, esse poder pode causar danos significativos à organização sob a forma de violações de privacidade, preconceitos, alucinações e desvio de modelos.
Não é possível voltar atrás, mas pode instituir práticas de governação de IA para garantir que a IA é utilizada de forma responsável, transparente e justa – sem sacrificar a inovação tecnológica.
A boa notícia é que não precisa de reinventar a roda para governar a IA de forma responsável. Ao incorporar a supervisão da IA no seu programa de GRC existente, pode avançar rapidamente, construir confiança – e reduzir o risco.
O que é a governação de IA?
A governação de IA é uma metodologia estruturada para manter a supervisão da utilização da IA, protegendo contra riscos e garantindo que os padrões éticos são mantidos. Inclui as políticas, regulamentos e outras diretrizes que regem o desenvolvimento, implementação e utilização da inteligência artificial em toda a organização.
Riscos da IA
Alucinações – A IA é conhecida por responder a perguntas com informações inventadas.
Preconceito – A IA utiliza informações históricas para construir novo conteúdo. O problema é que o que era aceitável no passado pode não corresponder aos padrões atuais.
Privacidade e segurança dos dados – A IA captura tudo o que escreve no prompt e incorpora-o no modelo. Esteja consciente das informações que partilha com modelos não proprietários como o ChatGPT.
Desvio do modelo – O desempenho de um modelo de IA diminuirá ao longo do tempo à medida que as condições mudam.
Defina as suas barreiras de proteção
Pode já ter uma base sólida em risco empresarial, conformidade e auditoria. E esse é o lugar ideal para começar com a governação de IA. De facto, a especialista em risco operacional e frequente convidada do Risk@Work, Dra. Ariane Chapelle, adverte contra a criação de uma estrutura de governação separada para o risco de inteligência artificial. “Integre a IA na sua estrutura de ERM. Tente arduamente ter a mesma estrutura para todos os seus riscos,” diz ela.
Aqui estão cinco formas de incorporar a governação de IA no seu programa de GRC atual.
1. Expandir os programas de risco e conformidade para incluir desafios específicos da IA. Os seus programas de risco empresarial, conformidade e auditoria podem ser ampliados para governar riscos de IA, como desvio de modelos, preconceito algorítmico, lacunas de explicabilidade e exigências regulatórias em rápida evolução. O objetivo é evoluir as estruturas existentes, não substituí-las.
2. Incorporar a governação em todo o ciclo de vida da IA. A supervisão da IA deve ser integrada em cada fase do ciclo de vida, desde o desenvolvimento e implementação do modelo até às operações contínuas. Isto inclui a incorporação de controlos de risco, pontos de verificação de validação e padrões de documentação desde o início, com mecanismos implementados para monitorizar o desempenho e a conformidade ao longo do tempo.
3. Mudar de revisões periódicas para supervisão contínua. Os sistemas de IA adaptam-se em tempo real, e a supervisão deve acompanhar o ritmo. As suas práticas de governação devem apoiar a avaliação contínua através de sprints de risco, monitorização em tempo real, alertas de desempenho e outros mecanismos. Isto permite que as equipas identifiquem e resolvam problemas antes que se tornem riscos para o negócio.
4. Definir a responsabilização em todas as linhas de defesa. A governação de IA funciona melhor quando as responsabilidades são claramente definidas entre as equipas jurídicas, de conformidade, auditoria, ciência de dados e negócios. A incorporação da governação nas funções existentes promove a propriedade, consistência e alinhamento com as estratégias de risco empresarial.
5. Demonstrar que está no controlo da IA. Reguladores, clientes e conselhos de administração querem provas de que a IA está a ser utilizada de forma responsável. Demonstrar controlo significa mais do que documentar políticas – requer visibilidade em tempo real, rastreabilidade e a capacidade de mostrar que os sistemas de IA estão a funcionar conforme pretendido. As organizações que conseguem provar que estão no controlo da sua IA estarão melhor posicionadas para ganhar confiança, reduzir riscos e acelerar a adoção.
De acordo com um recente inquérito da Riskonnect, 80% das organizações não têm um plano dedicado para abordar os riscos da IA generativa.
Não espere
Os reguladores já estão a tomar medidas para garantir que a IA é utilizada com segurança. O Regulamento de IA da UE, por exemplo, exige que qualquer empresa que opere na União Europeia cumpra regras específicas para garantir que a utilização da IA é responsável, transparente e clara. O regulamento categoriza a utilização de acordo com o potencial de dano e proíbe expressamente certas utilizações da IA por serem inaceitavelmente perigosas. As multas por não conformidade são elevadas.
Importantes regulamentos globais de IA
ISO 42001 Sistemas de Gestão de IA ajuda as organizações a utilizar, desenvolver, monitorizar ou fornecer produtos ou serviços que utilizam IA de forma responsável.
Regulamento de Inteligência Artificial da UE regula os sistemas de IA com base em riscos potenciais e no impacto na sociedade.
NIST Trustworthy and Responsible AI NIST AI 600-1 é uma diretriz voluntária para ajudar as organizações a identificar, avaliar e mitigar riscos associados a sistemas de IA.
Evitar multas é certamente uma razão convincente para estabelecer a governação de IA. Mas demonstrar conformidade aos reguladores é apenas um fator. Considere o impacto de tomar uma decisão estratégica importante com base em dados alucinados não detetados. O que aconteceria à sua posição competitiva se um funcionário carregasse segredos comerciais no ChatGPT para criar uma apresentação mais rapidamente?
Simplesmente marcar a caixa de conformidade não o protegerá. Devem ser estabelecidas barreiras de proteção em torno da privacidade dos dados, segurança e ética para manter a cultura, expectativas e padrões da organização. Evolua o seu programa de GRC para acomodar estas barreiras de proteção. E utilize ferramentas tecnológicas para comunicar expectativas, aplicar políticas, monitorizar ações e acompanhar métricas de forma fácil e consistente.
A governação de IA não pode residir num único indivíduo ou departamento. É uma responsabilidade coletiva, onde cada parte interessada prioriza a responsabilização e garante que os sistemas de IA são utilizados de forma responsável e transparente em toda a organização. Um programa robusto de governação de IA ajudá-lo-á a encontrar o equilíbrio certo entre minimizar o risco e incentivar a inovação – enquanto continua a capitalizar todos os benefícios que a IA traz.
Para mais informações sobre como construir um programa de GRC forte, descarregue o ebook, Governação, Risco e Conformidade: O Guia Definitivo, e conheça a solução de software de Governação de IA da Riskonnect.
