Att navigera i AI-styrning och försäkran: Argumenten för certifiering av ledningssystem för AI enligt ISO/IEC 42001

Detta vitbok beskriver behovet av och hur din organisation kan utveckla, styra och kontinuerligt uppfylla både interna och externa krav för att främja en framgångsrik implementering av AI i processer, produkter och tjänster.

Artificiell intelligens (AI) håller på att förändra världen och skapar nya möjligheter och utmaningar för företag och samhället i stort. Med tillkomsten av Generative AI ChatGPT och Copilot har experimenterandet med och den första användningen av AI i organisationer exploderat. Framgångsrika implementeringar visar att AI kan bidra till effektivitet, kvalitet, innovation och kundnöjdhet. All ny teknik medför dock risker. AI är full av potentiella utmaningar och osäkerhetsfaktorer som måste hanteras och minskas för en säker, tillförlitlig och etisk utveckling, tillämpning och användning.  

Här blir rollen för ett AI Management System (AIMS) baserat på ISO/IEC 42001-standarden avgörande för att organisationer ska kunna hantera sin AI-resa. Ett strukturerat tillvägagångssätt tvingar dig att "tänka innan du agerar" och kontinuerligt utvärdera prestanda och resultat. Denna grundläggande standard för AI-hantering, riskhantering och tredjepartscertifiering är redan erkänd som en grundpelare för att styra utvecklingen och leverera pålitliga AI-lösningar. Denna vitbok beskriver behovet av och hur din organisation kan utveckla, styra och kontinuerligt uppfylla både interna och externa krav för att främja en framgångsrik implementering av AI i processer, produkter och tjänster. 

Behovet av säker och ansvarsfull användning av AI

Behovet av tillförlitlig AI drivs av den ökade experimenteringen och användningen av dess många tillämpningar, intressenternas ökade medvetenhet och förväntningar samt det förändrade etiska och regulatoriska landskapet. Följaktligen kan organisationer inte dra nytta av fördelarna med AI om inte förtroendeklyftan mellan utvecklare och användare av AI överbryggas.  Med förtroendeklyftan avses den potentiella bristen på förtroende för, och transparens i, organisationens AI-aktiverade produkter och/eller tjänster. Om det till exempel är oklart för användarna hur AI-system fattar beslut, leder detta till osäkerhet och skepsis kring säkerhet, etiska överväganden, dataskydd och övergripande trovärdighet. Enkelt sagt bygger vårt förtroende för en teknik på att vi fullt ut förstår hur den används och kan förvissa oss om att den är säker och tillförlitlig. 

Att bygga bron över denna förtroendeklyfta är avgörande för att kommersialisera och skala upp AI-produkter och -tjänster. Det kräver att du säkerställer en säker, ansvarsfull, tillförlitlig och etisk implementering av AI.  Dessutom måste försäkran om detta ges både till interna intressenter, t.ex. dina anställda och ledningen, och till externa intressenter, t.ex. kunder och aktieägare. 

För att uppnå och visa att dina lösningar är pålitliga, krävs ett systematiskt tillvägagångssätt som omfattar hela AI-livscykeln från analys av intressenter, lämpliga skyddsräcken (som etiska riktlinjer), prioritering av användningsfall och riskidentifiering, hela vägen fram till implementering av relevanta kontroller. När vi zoomar in på denna förtroendeklyftan kan tydliga behov och förväntningar identifieras. Din organisation bör till exempel:

  • Identifiera och prioritera de områden och tillämpningar där AI kan tillföra värde och skapa effekt samt förstå fördelar och risker.
  • Etablera och upprätthålla en kultur av förtroende, öppenhet och ansvarighet inom organisationer. 
  • Bedöma och mäta AI-systemens prestanda och kvalitet samt säkerställa att de är förenliga med principerna om tillförlitlighet, befintlig eller kommande lagstiftning och kundkrav.
  • Organisera roller och ansvar i organisationer, vilket är särskilt viktigt i en teknikdomän som fortsätter att utvecklas. 
  • Anta och genomföra processer som bygger på standarder för bästa praxis (t.ex. ISO/IEC 42001) för utveckling, genomförande och styrning av AI.
  • Förmedla AI-systemens tillförlitlighet till intressenter och tillhandahålla bevis och garantier för att de följer bästa praxis, lagar och förordningar.  

Detta är inte uttömmande, men det är en översikt över grundläggande behov och förväntningar. Standarden ISO/IEC 42001 för ledningssystem för artificiell intelligens är utformad för att ge vägledning och struktur för att effektivt navigera i dessa.

Standardiseringens roll i styrningen av AI

Varje ny teknik medför risker. Det konstant föränderliga landskapet för AI i kombination med den enorma potentialen för dess tillämpning i olika branscher ökar detta allt mer. Det är till exempel omöjligt att förutse alla resultat redan i designfasen.  

Det är i detta sammanhang som standarder för ledningssystem som ISO/IEC 42001 blir särskilt viktiga. När det finns ett behov av allmänhetens förtroende spelar standardisering och certifiering en central roll. Vid sidan av juridiska, regulatoriska och etiska överväganden ger standardisering ett verktyg för att möjliggöra skalbarhet, bygga in säkerhet och vägleda organisationer in i det okända territorium som AI för närvarande är. 

Standarder fastställer viktig terminologi, främjar branschledda normer och samlar in bästa praxis för utvärdering och förbättring. Standarder för AI-hantering skapar tydlighet och ansvarstagande och kommer att bidra till en ökad acceptans i samhället. De utgör en grund för regelefterlevnad och branschtillämpning och påskyndar förmågan att utnyttja AI:s globala potential på ett säkert, ansvarsfullt och etiskt sätt samt säkerställer nödvändig transparens, förtroende och säkerhet bland användare och andra intressenter.  

AI-hanteringssystemens roll

Standarder för ledningssystem och certifiering kan fungera som en pålitlig grund för organisationer att bygga upp sin styrning kring AI (se figur 1). Den internationella standarden för AI-ledningssystem ISO/IEC 42001 ger vägledning och krav för organisationer som utvecklar, driftsätter eller använder AI-system.  

Denna mycket efterlängtade standard publicerades i slutet av 2023, och är tillämplig och avsedd att användas i alla branscher och av organisationer av alla typer och storlekar som är involverade i att utveckla, tillhandahålla eller använda produkter och/eller tjänster som använder AI-system. Eftersom det är en ISO-standard är den kompatibel med och kompletterar andra klassiska ISO-standarder för ledningssystem, t.ex. ISO 9001 (kvalitet) och ISO/IEC 27001 (informationssäkerhet). ISO/IEC 42001 skapar en balans mellan att främja AI-innovation och att implementera dess effektiva styrning.  

Det innebär att du kan dra nytta av och bygga vidare på alla befintliga ledningssystem och allmän processstyrning. Det säkerställer ett heltäckande tillvägagångssätt för att styra hur du gör AI till en integrerad del av produkter, tjänster eller till och med interna applikationer.  

I schemat nedan placerar vi ISO/IEC 42001 som ett verktyg för processstyrning i "pyramiden av försäkran". I pyramidens fundament hittar du organisationens grundläggande infrastruktur. Allt som måste finnas på plats för att organisationen ska fungera. För att kunna styra och förbättra väljer många organisationer att införa ledningssystem som uppfyller kraven för kvalitet (ISO 9001), informationssäkerhet (ISO/IEC 27001) eller någon annan ledningssystemstandard. Certifiering är sedan ett sätt att visa efterlevnad för olika intressenter.     

Pyramid of assurance. Management systems play a foundational role in governing processes to manage risks and ensure safe, reliable and ethical AI systems.
Pyramid av försäkran. Ledningssystem spelar en grundläggande roll i styrningen av processer för att hantera risker och säkerställa säkra, tillförlitliga och etiska AI-system.  

Eftersom ISO/IEC 42001 följer en liknande struktur som de andra ISO-standarderna för ledningssystem, gör den det lättare att komplettera ditt ledningssystem med kraven för AI-ledningssystem. På så sätt utgör din processstyrning grunden för att utforma, bygga och använda pålitliga AI-system.

De huvudsakliga målen för ISO/IEC 42001 är att: 

  • Tillhandahålla ett ramverk och en metod för att upprätta, genomföra, underhålla och förbättra ett ledningssystem för artificiell intelligens, som omfattar hela livscykeln för artificiell intelligens. Där det tar ett riskbaserat tillvägagångssätt.

  • Möjliggöra demonstration och kommunikation av trovärdigheten hos en organisations AI-system och processer.

  • Bidra till efterlevnad av regelverk och lagar, vilket kommer att bli allt viktigare i takt med att nationella och internationella regelverk ökar, t.ex. det European AI Act som redan gäller sedan augusti 2024.

  • Underlätta interoperabilitet och integrering av AI-system och processer.

  • Främja samarbete och samordning mellan intressenter.

  • Stödja innovation och förbättring av AI-system och -processer.

  • Uppmuntra antagande och spridning av bästa praxis och standarder för AI-hantering. 

Förhållandet mellan ISO/IEC 42001, lagar och förordningar om AI förväntas vara synergiskt och ömsesidigt fördelaktigt. Även om EU:s AI-lag har ett tydligt produktfokus, ger införandet av ett AI-ledningssystem en grund för att bygga och leverera konsekventa och förutsägbara betrodda AI-system, och kontrollerna med hjälp av standarden att man är i linje med vad förordningarna kräver att man följer.  

I slutändan kommer ett väl implementerat ledningssystem som uppfyller alla relevanta standarder att säkerställa integritet, sekretess och etisk användning av data samtidigt som det är tillräckligt anpassningsbart för att integrera ständigt föränderliga krav som härrör från kunder, tekniska framsteg, rättsliga och regulatoriska instanser och så vidare.   

Vägen framåt? 

För att starta processen med att anta ett ledningssystem som är certifierat enligt ISO/IEC 42001 kan du använda DNV:s artikel om “8 stegen till certifiering av ledningssystem enligt ISO/IEC 42001” samt det självutvärderingsverktyg som medföljer som vägledning. Processen inleds med en genomgång av högsta ledningen för att identifiera de viktigaste skälen till att införa ett AI-ledningssystem (AIMS).  Efter detta bör organisationerna skaffa ISO/IEC 42001-standarden och fastställa en strategisk inriktning som matchar de identifierade målen.  

Följande steg omfattar planering och resursfördelning, förståelse för och kartläggning av viktiga processer, samt identifiering av personalens utbildningsbehov. Att förbereda, utveckla och implementera tillämpliga processer och rutiner är typiska steg, och det är viktigt att tillämpa interna revisioner och ledningens genomgångar som kontrollerar systemets effektivitet längs vägen. Att använda DNV:s självutvärderingsverktyg hjälper till att identifiera luckor i förhållande till standardkraven och möjliggör ett fokuserat tillvägagångssätt för att uppfylla kraven i ISO/IEC 42001. 

Varför välja DNV? 

Som ett världsledande certifieringsorgan är DNV den partner som 80 000 företag världen över väljer för sina behov av certifiering av ledningssystem och utbildning. Vi har unik kompetens, branschkunskap och kapacitet som är relevant för AI och andra ledningssystem. När du väljer DNV får du: 

  • Global aktör inom informationssäkerhet och integritetsskydd: Vi har en gedigen meritlista inom certifiering och utbildning i informationssäkerhet och integritetsskydd, vilket är avgörande för att integrera i din AI-hantering.

  • Riskbaserad certifiering™: Vi använder ett proaktivt riskbaserat tillvägagångssätt för certifiering, vilket innebär att vi kan hjälpa organisationer att identifiera potentiella risker i sina AI-system på ett tidigt stadium för att säkerställa att de åtgärdas innan de blir ett problem.

  • Lumina™: Det här är vårt datasmarta benchmarkingverktyg som ger djupare insikter och analyser av ledningssystemet, från de vanligaste felen och korrigeringarna till en fullständig översikt över alla företagets anläggningar och jämförelser med andra företag.  

  • Hantering av utbildning: Digitala lösningar som hjälper ditt företag att hantera och säkerställa en konsekvent medvetenhet och kompetensutveckling av medarbetarna i hela organisationen.

  • Kompetenta revisorer som har ett pragmatiskt förhållningssätt, lyssnar på kundens behov samtidigt som de ser till att standarden följs.

  • Processer för kundhantering som är strukturerade för att leverera en överlägsen kundupplevelse.

DNV har åtagit sig att tillhandahålla tillförlitliga och värdeskapande AI-försäkringstjänster. Genom att bygga på vårt oberoende, vår roll som tredje part och vår princip att inte kompromissa med kvalitet och integritet, samarbetar vi med kunder för att hjälpa dem att navigera i komplexiteten med AI och relaterade utmaningar med förtroende och säkerställa nödvändig styrning för att tillhandahålla IA-system som är betrodda att vara säkra, tillförlitliga och säkra.  

ISO/IEC 42001 Ledningssystem Utbildning

Självutvärdering och ISO/IEC 42001-certifiering