Varför AI-resan kräver strukturerad styrning

För nästan alla företag är artificiell intelligens (AI) ett hett ämne just nu och de flesta är angelägna om att utforska de fördelar som AI kan ge. Det finns dock potentiella utmaningar och risker relaterade till AI som måste hanteras för säker, ansvarsfull, tillförlitlig och etisk utveckling, tillämpning samt användning. Det är här ISO/IEC 42001-standarden för ledningssystem för artificiell intelligens kommer in som en erkänd pelare för att vägleda utvecklingen och leverera pålitliga AI-lösningar.

Trots att AI har funnits ett tag nu, har det inte varit någon större entusiasm för AI förrän nyligen. En nyligen genomförd ViewPoint-undersökning av DNV visade att en betydande andel av företagen (58%) ännu inte har implementerat AI-teknik och att över 70% av företagen är på, vad som kan anses vara, början av AI-resan. Siffrorna visar att AI ännu inte är en strategisk prioritering för majoriteten. 

Många av de företag som svarade på enkäten är möjligtvis nybörjare då det gäller AI, men de är inte nya företag i den vedertagna bemärkelsen eller främmande för behovet av eller fördelarna med styrning. De har redan infört ett ledningssystem som uppfyller minst en ISO-standard, t.ex. ISO 9001 (kvalitet), ISO 14001 (miljö) eller ISO/IEC 27001 (informationssäkerhet).  Men särskilt de som befinner sig i ett mycket tidigt skede har ännu inte sett behovet av att tillämpa samma tillvägagångssätt på sin kommande AI-resa. 

Det växande behovet av styrning

Det vi skulle kunna kalla "nystartade" företag är främst inriktade på att använda AI för att öka effektiviteten och förbättra processerna internt. Detta är ett vanligt första steg eftersom lösningar som Copilot och ChatGPT, och implementeringen av dem, är relativt okomplicerade.  I takt med att företagen mognar tenderar det dock att ske en förskjutning mot externa, mer komplexa, AI-initiativ som syftar till att generera intäkter och utforska nya affärsmöjligheter. Med utvecklingen följer ett ökat behov av strukturerad styrning för att på bästa sätt kontrollera risker och säkerställa en säker, tillförlitlig och etisk utveckling, implementering och användning av AI.  

Regleringen kring AI ökar och företagen kommer att behöva visa att de uppfyller kraven. Dessutom finns det en inneboende skepsis hos användarna, vilket skapar en förtroendeklyfta som måste överbryggas. För att kunna lita på och dra nytta av en Teknik, måste vi förstå hur den fungerar och kunna bedöma dess säkerhet, tillförlitlighet och transparens.  Denna fråga lyfts fram i en rapport från mars 2024 av AI Assurance Club med titeln AI Governance and Assurance Global Trends 2023-24. Rapporten beskriver globala trender och utvecklingen av lagstiftning över hela världen. På temat förtroende står det i rapporten: "I centrum för AI-styrningens pussel står frågan om förtroende. I takt med att AI-system blir alltmer integrerade i våra liv - i infrastruktur, affärsprocesser, offentliga tjänster eller i konsumentvaror - måste användarna kunna lita på att systemen fungerar som avsett utan att orsaka skada." 

Att överbrygga klyftan 

Förtroendeklyftan är den potentiella bristen på förtroende för och transparens kring en organisations AI-aktiverade produkter och/eller tjänster. Om ett sjukhus, till exempel, använder AI-baserad diagnostik, kan jag som patient lita på att den är lika bra, eller till och med bättre, än den bedömning som läkaren gör?  För att minska förtroendeklyftan innan AI-systemen blir alltför komplexa och autonoma, krävs en stark styrning. 

Att bygga förtroende är en central del av alla ISO-standarder för ledningssystem, så det borde inte vara en överraskning att samma tillvägagångssätt kan tillämpas när det gäller AI. ViewPoint-undersökningen visade att de flesta företag som ligger i framkant när det gäller utveckling och implementering av AI redan överväger att införa ett AI-ledningssystem för att säkerställa korrekt styrning och att de redan känner till standarden ISO/IEC 42001.  

Det finns redan flera ramverk för AI och kompletterande standarder, bland annat NIST AI Risk Management Framework, ISO/IEC 23894 AI guidance on risk management, ISO/IEC 5338 AI system life cycle process och ISO/IEC TS 25058. I december 2023 lanserade ISO ISO/IEC 42001 AI management system standard (AIMS). Detta är den första certifierbara AIMS-standarden som ger ett robust tillvägagångssätt för att hantera de många AI-möjligheterna och riskerna i en organisation. Denna standard hjälper därför företag att ta ett steg längre när det gäller att överbrygga förtroendeklyftan eftersom efterlevnad resulterar i ett certifikat utfärdat av ett oberoende tredjeparts certifieringsorgan som DNV.  Eftersom den bygger på ISO High Level Structure (HLS) kan den dessutom enkelt integreras med andra ledningssystem.   
 
ISO/IEC 42001 är uppbyggd kring samma högnivåstrukturer som andra ISO-ledningsstandarder och kommer därför att vara bekant för företag som har ett annat ISO-ledningssystem på plats.  ISO/IEC 42001 följer metoden "Plan-Do-Check-Act" och specificerar krav och fokuserar på att etablera, implementera, underhålla samt kontinuerligt förbättra ett AI-ledningssystem.  Med tanke på att alla respondenter i ViewPoint-undersökningen pekade ut cybersäkerhet som det största hotet mot deras AI-implementering, kan det vara mycket fördelaktigt att integrera med ett ledningssystem för informationssäkerhet som uppfyller ISO/IEC 27001.

Att bygga förtroende 

ISO/IEC 42001-standarden kommer utan tvekan att få ännu större betydelse i takt med att allt fler länder inför AI-regleringar. Regleringar och riktlinjer finns redan i USA och Kina. I Europa har världens första omfattande AI-lag, EU AI ACT, nyligen trätt i kraft. Lagen syftar till att främja och säkerställa en trygg, säker, pålitlig och etisk utveckling av AI-system och att etablera bolagsstyrning för AI framstår som en viktig aspekt för att säkerställa regelefterlevnad och bygga förtroende.  

Att bygga upp en central kärnfunktion i många team som känner igen och förstår AI-teknik, användningsfall och leverantörer är centralt för att säkerställa AI-styrning. På grund av den ständiga utvecklingen inom AI-området och dess skiftande regelverk kommer det dessutom att vara nödvändigt för en identifierad styrkommitté och intressenter att regelbundet granska och uppdatera AI-styrningsprogrammet. Här ligger en annan fördel med att implementera ett ISO/IEC 42001-kompatibelt ledningssystem och få det certifierat. 

Att anta ett strukturerat tillvägagångssätt för styrning och ansvarsfull användning av AI kan i slutändan vara en konkurrensfördel och hjälper alla företag att visa för interna och externa intressenter att verksamheten har ett robust tillvägagångssätt för att skydda användare och ständigt förbättra sig. Ett certifierat ledningssystem visar ett företags engagemang och de åtgärder som vidtas varje dag för att säkerställa säker, tillförlitlig och etisk utveckling, implementering och användning av AI i sina processer och produkt- och tjänsteerbjudanden.