Как сбалансировать возможности и риски при внедрении прорывных технологий

Успешное внедрение прорывных технологий требует баланса между поиском возможностей и управлением рисками.

Вкратце

• Законы и инструкции часто не успевают за быстрыми темпами развития технологий, поэтому организациям необходимо действовать на опережение.
• Инвестиции в технологии обеспечения соответствия растут, но их может быть недостаточно.
• Организациям необходимо уделять первостепенное внимание этичному использованию технологий и включать инновации в свою более широкую стратегию соответствия нормативным требованиям.

Искусственный интеллект (ИИ), автоматизация и другие достижения преобразуют как предприятия, так и их отдел соблюдения нормативных требований по мере оптимизации операций и извлечения новых знаний из данных. Но эти технологии усиливают существующие риски, такие как утечка данных и ущерб репутации, и одновременно создают новые угрозы. Генеративный искусственный интеллект (GenAI), наряду с другими достижениями, может помочь отделам по соблюдению нормативно-правовых требований и юридическим отделам лучше управлять рисками при условии правильных инвестиций. Но GenAI и другие разрушительные технологии могут также привести к серьезным проблемам в бизнесе, таким как создание необъективного или ложного контента, нарушение законов об авторском праве и использование личных данных.

Одна из главных корпоративных задач в эпоху конфиденциальности - поспевать за изменениями в законодательстве многих юрисдикций, но в случае с ИИ развитие значительно опережает законодательные меры. Этот пробел заставил заинтересованные стороны потребовать от организаций активной разработки этической основы для использования ИИ и других новых технологий.

Как компании могут формировать культуру соблюдения требований, оставаясь при этом конкурентоспособными?

Компаниям необходимо разработать целостную стратегию ответственного использования технологий и данных, точно так же, как они расставляют приоритеты в своей программе устойчивого развития. Организации могут принять многие из мер, используемых для постановки целей, управления и отчетности по таким инициативам, как защита окружающей среды и повышение благосостояния заинтересованных сторон и сообществ. Эта стратегия должна соответствовать основным ценностям организации, а не полагаться на постоянно меняющиеся правила, которые варьируются в разных юрисдикциях. Внедрение технологий имеет решающее значение для развития бизнеса, но если не уделять первостепенное внимание их этичному использованию, то юридические и репутационные риски могут превзойти любые выгоды.  

Почему полагаться на законодательство недостаточно

Системы искусственного интеллекта собирают и анализируют огромные объемы данных, повышая риск кибератак и утечек информации. ИИ, используемый для наблюдения, также может повлиять на право на неприкосновенность частной жизни. Использование его для создания изображений и видео может ввести публику в заблуждение и нарушить законы об авторском праве. Другие риски включают в себя создание вымышленного контента (галлюцинации) и отсутствие прозрачности в решениях, основанных на данных. Системы искусственного интеллекта также могут усилить предубеждения общества и дискриминировать клиента банка, желающего получить кредит, или соискателя работы.

Эти риски намного опережают возможности законодателей и регулирующих органов по их обузданию. В 2022 году в мире было принято около 40 законов, связанных с ИИ^{1 ,} прежде чем произошел взрыв использования GenAI. Новые законы, касающиеся GenAI, ожидают принятия во многих ключевых юрисдикциях, включая ЕС, чей Закон об ИИ готов стать глобальной моделью, подобно Общему положению о защите данных (GDPR).

По данным опроса 2023 EY, проведенного EI Studios, подразделением Economist Impact, меняющиеся нормативные требования являются главной проблемой для крупных компаний при рассмотрении вопроса о внедрении технологий для поддержки управления данными, ответственного использования ИИ и кибербезопасности.

Многие международные компании хотели бы применять самые строгие правила защиты данных в комплексе, но при этом могут возникнуть конфликты юрисдикций. Организациям необходимо решить, какая позиция будет наиболее устойчивой, при этом минимизируя перемещение данных из одной географии в другую.

Исследование, проведенное компанией EY среди восьми юрисдикций, которые лидируют в разработке нормативных актов в области ИИ, демонстрирует различные подходы, но схожие цели: уменьшить потенциальный вред от ИИ и в то же время облегчить его использование на благо граждан. Все юрисдикции применяют подход, основанный на оценке рисков, к созданию правил, которые защищают права человека, конфиденциальность и безопасность данных, демонстрируя при этом прозрачность и устойчивость. Например, Закон ЕС об искусственном интеллекте требует, чтобы системы GenAI раскрывали контент, созданный искусственным интеллектом, и публиковали резюме защищенных авторским правом данных, использованных для обучения^.2

Но компании все чаще сталкиваются с репутационными рисками даже при отсутствии законов. Растущие опасения по поводу искусственного интеллекта вызывают новые требования со стороны заинтересованных сторон. Корпоративные инвесторы, сотрудники, партнеры и клиенты, требуя от регулирующих органов более быстрых действий, одновременно призывают компании проявлять инициативу в ответственном использовании ИИ и других технологий.    

Мировые лидеры также оказывают давление на организации, требуя этичного использования ИИ. В качестве предваряющей меры для принятия национальных нормативных актов США, администрация Байдена просит принять добровольные обязательства по ответственному развитию ИИ^.3 Генеральный секретарь ООН Антонио Гутерриш призвал членов Совета Безопасности присоединиться к "гонке по развитию ИИ во благо"⁴. Такие растущие требования означают, что организации не могут позволить себе ждать, пока регулирующие органы догонят их, прежде чем разрабатывать свою стратегию в области ИИ.

Инвестиции в технологии обеспечения соответствия растут, но являются ли они достаточными и стратегическими?

Регулирующие органы все чаще ожидают от компаний использования передовых технологий для объективной демонстрации соответствия нормативным требованиям. Например, Министерство юстиции США (DOJ) призывает компании использовать аналитику данных для периодической оценки соблюдения требований^.5 Невыполнение этого требования может быть рассмотрено прокурорами.

Аналитика данных, искусственный интеллект и автоматизация значительно улучшают способность обнаруживать юридические и репутационные риски, описывать их (обычно количественно) и предоставлять практические выводы. Полагаться на ручные системы для большинства компаний просто не вариант.

Это связано с тем, что данные о клиентах - жизненно важная составляющая большинства отраслей - поступают в больших объемах, чем когда-либо прежде, и темпы этого процесса постоянно растут. Специалисты по данным говорят, что объемы данных в их организациях растут в среднем на 63% каждый месяц, причем данные поступают из 400 различных источников, согласно исследованию 2022 года, проведенному компаниями Matillion и IDG Research^. 6 Эффективное управление этими данными - одно из основных требований, которое обычно не привлекает достаточных инвестиций.

Почти половина главных специалистов по управлению данными, опрошенных в 2022 году, заявили, что четкое и эффективное управление данными является одной из главных задач^.7 Прежде чем компании будут инвестировать в технологии, им необходимо оценить, как они управляют информацией. Кто имеет доступ к какому типу данных? Как минимизируются, отслеживаются, проверяются и передаются данные?  Как она защищена? Многим организациям, возможно, придется вложить больше денег в управление данными, прежде чем инвестировать в ИИ.

Большинство компаний увеличивают свои расходы на технологии в области права и соблюдения нормативно-правовых требований, причем 87% инвестируют в искусственный интеллект и машинное обучение, согласно исследованию EI Studios, проведенному по заказу EY в 2023 году. Однако большинство опрошенных организаций тратят менее 10% своего ИТ-бюджета на технологии, используемые для выявления и управления юридическими и нормативно-правовыми рисками.

Любые инвестиции в технологию обеспечения соответствия должны включать меры предосторожности, чтобы убедиться, что технология работает правильно и эффективно. Например, машинное обучение может помочь компании обнаружить мошеннические схемы в торговых операциях или отметить проблемных продавцов, но использование необъективных или недостаточных данных может привести к ложным срабатываниям.

Преступники также используют ИИ. Системы искусственного интеллекта могут разрабатывать сложные вредоносные программы, учиться на неудачных атаках и создавать более правдоподобные фишинговые кампании. Компании, использующие ИИ и автоматизацию для обнаружения таких атак и реагирования на них, обнаруживают утечку данных гораздо быстрее, чем те, кто этого не делает, и, согласно исследованию IBM, снижают стоимость утечки почти на 2 миллиона долларов США⁸. Несмотря на это, только половина исследованных организаций планировала увеличить инвестиции в безопасность после взлома.

Организациям также следует подумать о том, чтобы увеличить расходы на внутренний контроль, который ограничивает доступ к данным и обеспечивает подотчетность. Неадекватный контроль является самым высоким внутренним риском, о котором сообщается в исследовании 2023, проведенном EY по заказу EI Studios. Встраивание рабочих процессов со встроенными средствами контроля снижает количество ошибок и мошенничества, создавая оцифрованные карты соответствия, которые предоставляют подробную информацию о ключевых областях риска.

Расширенный анализ данных также позволяет предприятию интегрировать управление рисками со стратегией и управлением эффективностью. Например, всесторонний анализ рисков, связанных с возникающими сценариями, помогает совету директоров определить, насколько жизнеспособны его стратегии и бизнес-модели, как описано в исследовании EY Global Board Risk Survey 2023, которое показало, что советы директоров с высокой устойчивостью эффективно используют данные и технологии для раннего обнаружения рисков и улучшения процесса принятия решений.

Разработка устойчивой стратегии в области данных и технологий, которая соответствует основным ценностям

Ответственное использование технологий не всегда является стратегическим приоритетом для многих компаний. Почти половина респондентов, принявших участие в опросе EI Studios, проведенном по заказу EY в 2023 году, сообщили, что в их организации отсутствует корпоративная стратегия в отношении конфиденциальности данных, которая хорошо регулируется в большинстве юрисдикций и требует надежного управления данными.

Организациям необходимо разработать комплексную стратегию и видение этичного управления технологиями и данными, как это сделали многие компании в отношении программы устойчивого развития. Но прогресс в этой области вызывает тревогу. По данным исследования EY Global Board Risk Survey (GBRS) 2023, менее трети директоров советов директоров считают, что их надзор за рисками, возникающими в результате цифровой трансформации, очень эффективен.

Формулировка миссии необходима для того, чтобы показать, как предприятие управляет технологиями и данными надлежащим и оправданным способом, соответствующим его основным ценностям. Например, компания Adobe четко заявила о своей приверженности ответственному использованию технологий на благо общества. В Принципах этики ИИ описаны действия, которые производитель программного обеспечения предпринимает, чтобы избежать вредных предубеждений в отношении ИИ и привести свою работу в соответствие со своими ценностями⁹.

В своем подходе к созданию ответственного и надежного ИИ Microsoft руководствуется как этическими соображениями, так и соображениями ответственности¹⁰. Он призывает разработчиков технологий создать внутренние контрольные органы для обеспечения надзора и руководства, чтобы их системы ИИ были инклюзивными, надежными, справедливыми, подотчетными, прозрачными, частными и безопасными.

Этичное использование технологий невозможно без формирования культуры, в которой честность так же важна, как и прибыль. Например, Volkswagen Group заявляет, что добросовестность и соответствие нормативным требованиям имеют такой же стратегический и операционный приоритет, как доходы от продаж, прибыль, качество продукции и привлекательность работодателя¹¹.

Согласно исследованию IBM, средняя стоимость утечки данных вырастет почти до 4,5 миллионов долларов США в 2023 году¹². Штрафы со стороны регулирующих органов также растут: компания Meta получила санкции в размере 1,2 млрд. евро за нарушение GDPR¹³.

Организации, стремящиеся создать этичную и устойчивую стратегию использования технологий и данных, могут адаптировать меры, используемые для других инициатив по устойчивому развитию, таких как защита окружающей среды и надлежащее управление. Это включает в себя установление целей и бюджетов, измерение эффективности и публичное информирование о прогрессе. Убедительные усилия в области устойчивого развития могут в значительной степени помочь решить проблемы заинтересованных сторон и даже привлечь соискателей.  

Некоторые виды деятельности в области устойчивого развития, такие как борьба с изменением климата, уже переходят из разряда добровольных обязательств в разряд обязательных, поскольку регулирующие органы устанавливают требования к раскрытию информации для публичных компаний¹⁴. Ожидается, что корпоративная стратегия и принципы этических технологий будут иметь ту же направленность, что и программа устойчивого развития, если они еще не имеют такой направленности.

Обеспечение доверия к искусственному интеллекту с помощью надежного подхода к управлению - одна из пяти стратегических инициатив, которые команда EY рекомендует организациям, стремящимся максимально использовать потенциал искусственного интеллекта и одновременно справиться с его проблемами. Этот подход включает в себя:

• Создание совета или комитета по искусственному интеллекту, а также этических принципов, которыми должны руководствоваться политики и процедуры
• Отслеживание всех соответствующих действующих норм и обеспечение соответствия всем новым вариантам использования
• Определение средств контроля для устранения возникающих рисков
• Подготовка к предстоящим законодательным актам

Приоритет этического использования ИИ и других появляющихся технологий означает, что руководители должны быть осторожны, чтобы не впасть в заблуждение, когда "говорят-делают", прикрываясь тем, что поступают правильно. Этот разрыв четко прослеживается в отчете EY Global Integrity Report 2022, в котором 58% членов совета директоров заявили, что будут очень или очень обеспокоены, если их решения станут предметом общественного контроля, а 42% сообщили, что их компания готова терпеть неэтичное поведение руководителей высшего или старшего звена.

Рост GenAI открывает новые возможности и риски

Представьте себе два дверных проема - один с надписью "технологические возможности", другой - "технологический риск". Какую дверь Вы откроете первой? Что важнее для Вашей организации?  Что преграждает Вам путь и кто может наступать Вам на пятки?

GenAI как никогда усложнил баланс между возможностями и рисками при внедрении технологий. Его широкое распространение в 2023 году повысило осведомленность о потенциале всех типов ИИ, а также о его недостатках. Общественность хочет знать, как можно предотвратить создание искусственным интеллектом ложной информации, необъективных результатов и лишить их работы.

Большие языковые модели (LLM), такие как ChatGPT, становятся переломным моментом для юридических и нормативных служб благодаря своей способности анализировать и обобщать огромное количество документов. Но профессионалам, хорошо знакомым с рисками конфиденциальности и кибербезопасности, может быть трудно оценить новые угрозы, исходящие от ИИ. Мы уже видели, как юристы ссылались на случаи, придуманные искусственным интеллектом, поэтому важно, чтобы результаты были подтверждены другими интеллектуальными инструментами и/или людьми.

Организации, которые пытаются снизить риски GenAI, запрещая его использование, могут столкнуться с обратной стороной этой стратегии. Более четверти сотрудников, ответивших на онлайн-опрос Reuters-Ipsos в июле 2023 года, заявили, что регулярно пользуются OpenAI ChatGPT на работе, хотя только 22% из этих пользователей сказали, что их работодатели прямо разрешили им это делать¹⁵. Ограничение сотрудников одобренными компанией инструментами GenAI может привести к обходным путям, поэтому очень важно разработать политики, стандарты и процедуры независимо от того, как ИИ используется в организации.

Даже компании, разрешившие использование GenAI, могут не иметь полного представления о том, как он применяется, и о сопутствующих рисках. По данным исследования MIT, более половины неудач ИИ происходит из-за "теневого ИИ" или инструментов сторонних производителей, которые используются в 78% организациях по всему миру¹⁶.

Компании, рассматривающие инвестиции в GenAI, должны сосредоточиться на проблемах, которые они пытаются решить, и на роли, которую будут играть данные. Есть ли у организации необходимые данные? Понимает ли он, как были получены данные, каковы их ограничения и что они собой представляют? Можно ли использовать эти данные для создания LLM? Отсутствие хорошего управления данными может привести к множеству рисков - от необъективных результатов до утечки данных. Даже если компания все это делает правильно, часто возникают проблемы с информированием о действиях в форме, понятной руководству, инвесторам, сотрудникам и другим заинтересованным сторонам.

Реальность такова, что независимо от того, какую дверь Вы откроете первой, Вы обязательно окажетесь в одной и той же комнате. Появляющиеся технологии с потенциалом, меняющим ход событий, всегда будут сопряжены с множеством юридических и репутационных рисков, которые необходимо решать стратегически.