با توجه به رشد فزاینده مقررات هوش مصنوعی در سطح جهان، پیگیری تعهدات انطباقی برای سازمانها میتواند چالشبرانگیز باشد. در کنفرانس RSA 2025 در سان فرانسیسکو، کالیفرنیا، مری کارمایکل و دوشیما دابو آدزوانا، اعضای ISACA، نظرات و دیدگاههای خود را در جلسهای درباره ی ریسکهای هوش مصنوعی ثالث به اشتراک گذاشتند. کارمایکل و دابو آدزوانا عوامل متعددی را که هنگام انتخاب یک فروشنده هوش مصنوعی باید مد نظر داشت، توضیح دادند و گامهایی برای شناسایی هرگونه خطری که ممکن است در یک تامینکننده پنهان باشد، ارائه کردند.
برای آشنایی با مفهوم هوش مصنوعی شخص ثالث مطالعه ی مقاله "هوش مصنوعی تامینشده از منابع خارجی: مفاهیم، نمونهها و اهمیت در حاکمیت سازمانی" را به شما پیشنهاد می دهیم.
دابو آدزوانا توضیح داد که روشهای سنتی مدیریت ریسک دیگر برای شناسایی ریسکهای هوش مصنوعی طرف ثالث کافی نیستند. او گفت: «هدفها همچنان همان است، اما هوش مصنوعی ریسکهای جدیدی مانند سوگیریها، توهمات، رانش مدل و تغییرات در زنجیره تأمین را معرفی میکند.» وی افزود: «زمانی که ابزارهای هوش مصنوعی طرف سوم وارد میشوند، دامنه ریسکهای شما در عمق زنجیره تأمین گسترش مییابد. ریسک دیگر محدود به بخشهای بالادستی نیست بلکه به قسمتهای پایینتر زنجیره نیز سرایت میکند و بسته به حوزه فعالیت شما، میتواند تأثیراتی بر مشتریان، تنظیمکنندگان، و زیرساختهای ملی داشته باشد.»
در ظاهر ممکن است تصور کنید که تنها یک محصول و در نتیجه یک فروشنده دارید، اما در واقع معمولاً چندین طرف پشت صحنه وجود دارند که قابلیتها یا دادهها را فراهم میکنند.
کارمایکل گفت: "یکی از تصورات نادرستی که درباره مدیریت ریسک میشنوم این است که آن یک فرآیند ثابت است." او توضیح داد که یک چارچوب مدیریت ریسک میتواند بر اساس عوامل متعددی مانند اهمیت کسبوکار، تأثیر بر افراد، حساسیت دادهها، پیچیدگی سیستمهای هوش مصنوعی، الزامات نظارتی و سطح بلوغ عملیاتی، سفارشیسازی شود. وی افزود: "برای اینکه یک چارچوب مدیریت ریسک هوش مصنوعی مؤثر و شخصیسازی شده باشد، لازم است فرهنگ ریسک در سازمان وجود داشته باشد، رهبری اجرایی حمایت کند و توانایی پرسیدن سوالات و اصلاح آنها در طول زمان مهیا باشد."
1. استراتژی هوش مصنوعی و تعیین نیازها
چه مشکلی در کسبوکار خود را با هوش مصنوعی حل میکنید؟ آیا باید این فناوری را در داخل سازمان توسعه دهید یا از یک فروشنده خریداری کنید؟ چه ریسکهایی را مایلید بپذیرید؟ اینها سوالاتی هستند که هنگام مشخص کردن اهداف و سطح ریسکپذیری باید از خود بپرسید.
2. برنامهریزی و شناسایی تامینکننده
کدام تامینکنندگان بالقوه هوش مصنوعی با نیازهای شما سازگارند؟ این تامینکننده چقدر برای عملیات تجاری شما حیاتی است؟ شهرت و سابقه تامینکننده در حوزه هوش مصنوعی چگونه است؟ لازم است یک مطالعه کامل بازار انجام دهید، تامینکنندگان را در فهرستی کوتاه قرار دهید و بر اساس اهمیت آنها، سیستم را از فروشندگان کماهمیت تا حیاتی مرتب کنید.
3. بررسی دقیق و تصمیمگیری در مورد ریسک
این مرحله را میتوان به سه بخش تقسیم کرد:
- اولویتبندی: کدام ریسکهای بزرگ باید تمرکز روی آنها باشد؟
- تناسب: بر اساس میزان تأثیر سیستم بر کسبوکار، بررسیهای دقیقتر انجام میشود.
- آمادگی: هرچه خطرات بیشتر باشد، نیاز است بررسیهای جامعتری انجام شود، مانند پرسشهای خاص یا نیاز به اطلاعات بیشتری از فروشنده.
4. مدیریت قرارداد و نکات اجرایی
بر اساس بررسیهای دقیق و اطلاعات دریافتی از فروشنده، تصمیمگیری در مورد ریسکها انجام میشود. قراردادهای مبتنی بر ریسک به کسبوکارها این امکان را میدهند که توافقنامهها را بر اساس تخصیص ریسک و پاداش میان طرفین تنظیم کنند. در این مرحله از خود بپرسید: چه کنترلهایی باید در قرارداد گنجانده شود؟ آیا الزامات مربوط به ریسک و انطباق به وضوح تعریف شده است؟ حقوق حسابرسی و نظارت بر قرارداد چگونه است؟
5. نظارت، ممیزی و افزایش آگاهی
کارمایکل تأکید کرد که گاهی اوقات سازمانها تصور نادرستی دارند که به محض استفاده از یک چتبات، دیگر نیازی به نظارت ندارد. اما لازم است مدلهای هوش مصنوعی ممیزی شوند تا مطمئن شویم مطابق انتظار عمل میکنند، یا اینکه رانش مدل رخ داده است یا خیر.
در این مرحله بپرسید: آیا زمینههایی وجود دارد که بتوانیم به راهحل شخص ثالث هوش مصنوعی اضافه کنیم؟ چه کسی مسئول نظارت و ارزیابی مجدد است؟ آیا بررسیهای منظم و دورهای انجام میشود؟
6. خاتمه همکاری
زمانی که قصد دارید رابطه با فروشنده را خاتمه دهید، باید مطمئن باشید که این فرآیند به صورت ایمن انجام میشود و خطرات باقیمانده برطرف میگردد. چگونه دسترسی فروشنده به سیستمها و دادهها را لغو خواهید کرد؟ آیا فرآیندی برای بازگرداندن یا نابودی امن دادهها دارید؟ آیا نیاز به جایگزینی تامینکننده یا انتقال به راهحل جدید هست؟
رویکردها، چارچوبها و استانداردها برای مدیریت ریسک شخص ثالث
دابو آدزوانا چند منبع مفید در زمینه حاکمیت هوش مصنوعی را به اشتراک گذاشت، از جمله استانداردهای COBIT برای حاکمیت هوش مصنوعی، چارچوب مدیریت ریسک هوش مصنوعی NIST و ISO 42001. هر دو سخنران افزودند که برای کسانی که میخواهند در حوزه هوش مصنوعی بهروز بمانند، ISACA مجموعه وسیعی از دورهها را ارائه میدهد و به زودی مدرکهای جدیدی مانند گواهینامه پیشرفته در ممیزی هوش مصنوعی (AAIA) و گواهینامه پیشرفته در مدیریت امنیت هوش مصنوعی (AAISM) را منتشر خواهد کرد.
کارمایکل تأکید کرد: «این یک فرآیند تکراری است - پس از استقرار راهحلهای هوش مصنوعی، همواره تغییراتی رخ میدهد.» اما او و دابو آدزوانا تصریح کردند که مزایای مقرونبهصرفه استفاده از راهکارهای هوش مصنوعی خارجی میتواند ارزشمند باشد، به شرط اینکه متخصصان اطمینان حاصل کنند که شیوههای مدیریت ریسک شخص ثالث آنها همچنان با چشماندازی که هوش مصنوعی در حال تغییر است، تطابق پیدا کند و توسعه یابد.
منبع:
ترجمه ی مقاله Six Steps for Third-Party AI Risk Management
شش گام برای مدیریت ریسک هوش مصنوعی تامین شده از منابع خارجی