Професионалната организация ISACA представи нова сертификация – за управление на риска при системи с изкуствен интелект. Едновременно с това тя публикува изследване, което показва съществени слабости в управлението на AI технологиите в Европа.
Данните от проучването сочат, че компаниите внедряват изкуствен интелект по-бързо, отколкото изграждат механизми за контрол. Това създава реален риск при инциденти и поставя под въпрос отчетността.
Новото удостоверение Advanced in AI Risk (AAIR) е насочено към опитни професионалисти в областите на одита, риска, сигурността, поверителността и съответствието. То е предназначено за специалисти, които вече имат утвърден опит, а не начинаещи.
Целта на сертификацията е опитните експерти да поемат надзор върху AI системите в своите организации и да прилагат структурирани подходи за управление на риска.
Неотдавнашно проучване разкрива сериозни дефицити в контролните механизми. Сред анкетираните специалисти по дигитално доверие в Европа 59% признават, че не знаят колко бързо организацията им може да спре AI система при инцидент със сигурността. Само 21% твърдят, че това може да стане в рамките на половин час.
Изследването подчертава и проблеми с отчетността. Един от всеки петима респонденти не знае кой носи отговорност, ако AI система причини вреда. Едва 42% са уверени, че организацията им може да разследва и обясни сериозен AI инцидент пред ръководството или регулаторите, а само 11% изразяват пълна увереност.
Подобни резултатите показват, че въвеждането на AI в организациите не се изчерпва с техническите аспекти. Една трета от организациите не изискват от служителите да декларират използването на AI. Само 38% определят член на управителния съвет или изпълнителен директор като най-висш отговорник за риска, свързан с изкуствения интелект.
Подобни данни очертават картина, при която AI навлиза в ключови бизнес-процеси без ясни правила и линии на отчетност, без формализирани процедури за реакция при инциденти. Това се случва в момент, когато компаниите в Европа са под нарастващ регулаторен натиск, включително във връзка с EU AI Act.
От ISACA позиционират AAIR именно като отговор на този натиск. Сертификацията обхваща три ключови направления: управление на AI риска и интеграция във вътрешните рамки, управление на риска през целия жизнен цикъл на AI и управление на програми за риск, свързани с AI.
Програмата тества способността на кандидатите да идентифицират уязвимости, да оценяват бизнес-въздействието и да управляват риска през всички етапи от жизнения цикъл на AI. Това включва анализ както преди внедряване, така и след него, както и умението да се комуникира рискът пред ръководство или регулатори.
Достъпът до AAIR изисква притежание на една от 25 предварителни сертификации. Сред тях са CISA, CISM, CRISC, CGEIT, CDPSE, CGRC и CISSP. Този подход отразява тенденцията управлението на AI риска да се интегрира в по-широк кръг професионални роли, а не да остава ограничено до класическите ИТ екипи.
Широките критерии за достъп показват, че управлението на AI се разглежда като междудисциплинарна дейност. Тя обхваща области като киберсигурност, поверителност, съответствие и управление на риска. Моделът съвпада с начина, по който организациите разпределят отговорността за AI решения между различни контролни функции.
Сертификацията AAIR е част от по-широка тенденция сред професионалните организации и обучителните структури да дефинират управлението на AI като самостоятелна експертна област.
Компаниите са под нарастващ натиск да демонстрират, че могат да идентифицират проблеми, да разпределят отговорности и да реагират адекватно при инциденти, така че да отговарят на изискванията на управителните органи и регулаторите.
Проучването на ISACA обхваща 681 специалисти по дигитално доверие в Европа, работещи в сфери като ИТ одит, управление, киберсигурност, поверителност и нововъзникващи технологии. Един от основните изводи е, че несигурността не се отнася само до самите AI системи, а и до това кой поема отговорността, когато те се сринат.
