בעשור האחרון, הפך השימוש בבינה מלאכותית (AI) לשכיח בארגונים, ואף בחיינו הפרטיים. טכנולוגיה זו, כ'למידת מכונה' (Machine Learning), שהחלה ב 1952 (neural network)' התפתחה עם השנים (לכולם זכור משחק השחמט בו ב-1997 ניצח המחשב deep blue של חברת IBM את קאספרוב, אלוף העולם דאז), ועלתה למודעות, בין היתר, עקב שימוש גובר בטכנולוגיות ביומטריות וזיהוי תווי פנים בעשור האחרון והמשמעויות לכך (בייחוד מבחינת זכויות הפרט).
בכל הקשור לניהול התאגידי, השימוש בבינה המלאכותית (AI) התרחב כמעט לכל היבט: מניהול קשרי לקוחות, לזיהוי ותגובה לאיומי סייבר, וכלה בגיבוש והפעלה של הנחיית החלטות ניהוליות. ואכן על-פי התחזיות, בעולם ארגונים צפויים להכפיל את ההוצאות בתחום זה בארבע השנים הקרובות, מ-50.1 מיליארד דולר בשנת 2020 ליותר מ-110 מיליארד דולר ב2024.
השילוב של ביג דאטה (יותר ויותר נתונים עסקיים נמצאים במערכות המחשב הארגוני) והיכולת הטכנולוגית לנצלם לצורך הגברת הבנה ויכולתנו לקבל החלטות (במקום מדגמים/נתונים חלקיים) העלה את הצורך בשילוב בינה מלאכותית בתהליכי קבלת החלטות. ואכן שימוש בכלים אלה (אלגוריתם) יכול לסייע לארגונים, בין היתר, על-ידי אטומיזציה של תהליכים, צמצום מעורבות עובדים במשימות ופעולות, הפחתת עלויות והגדלת יעילות, שיפור ניבוי התוצאות וכו'. מידע זה יכול אם כן גם לאפשר לארגונים גיבוש תובנות על בסיס המידע העסקי, ובכך לאפשר למנהלים להגיב בצורה טובה יותר לסיכונים מחד-גיסא, ולחדשנות ותחרות מאידך.
לאור תמורות אלה, COSO, גוף שהוקם ב-1985 על-ידי חמשת הגופים המקצועיים המיצגים פרופסיות פיננסיות (רו"ח, מבקרי פנים, סמנכ"לי כספים) בארה"ב לצורך קביעת הנחיות בנושא בקרה וניהול סיכונים שהנחיותיו אומצו בעולם וגם בישראל, פרסם ב-15 בספטמבר 2021 הנחיה חדשה בנושא שימוש בבינה מלאכותית (AI) בתהליכי ניהול סיכונים
1. הנחיה זו ממנפת את עקרונות ניהול הסיכונים הארגוניים של COSO (ERM), בייחוד את הנחיה מ-2017 המנחה כיצד יש לשלב הליכים אלה במסגרת אסטרטגיה והביצוע הארגוני.
הנחיה זו, שנכתבה ביחד עם Deloitte, קובעת כי כדי לנצל את הפוטנציאל הטמון ב-AI, ארגונים חייבים להתאים את ניהול הסיכונים לאסטרטגיה שלהם, באמצעות שילוב תכנים אלה במסגרת ERM של COSO להשגת יעדים אסטרטגיים. על-ידי יישום ממשל משולב ב-AI יכולים ארגונים לקבל מידע טוב יותר לגבי הסיכונים אליהם הם חשופים, זאת באמצעות אימוץ הצעדים הבאים:
א.
הסדרת תחום ה -I בארגון - קבע מתי וכיצד הארגון ישתמש ב-AI, הגדר את המטרה והיעדים של ההצעות והיוזמות לשימוש ב-AI (כולל הערכה השיקולים האתיים הרלוונטיים הכרוכים בכך), מנה אחראי והטמע אחריותיות ופיקוח (שקיפות ונראות לדירקטוריון ולהנהלה הבכירה).
ב.
גבש אסטרטגיה לניהול סיכוני AI - באמצעות שיתוף בעלי עניין (stakeholders) הרלוונטיים לניהול אסטרטגי, טכני, הכולל סיכונים רגולטוריים ותפעוליים של AI. צעד זה יבטיח שלארגון יש את היכולת לגבש אסטרטגיית הסיכון של AI, דבר המחייב להגדיר תפקידים, אחריות, בקרות וצעדים לצמצום סיכונים.
ג.
פעל להערכת סיכוני AI - ארגונים עושים שימוש במודלי AI שונים, וכי ביחס לכל אחד מהם עליהם לבחון את ההשפעה הפוטנציאלית שיש לכך על האסטרטגיה של הארגון, על התוצאות, הכשלים או הטיה בנתונים, זאת בין היתר, כדי להעריך כיצד האלגוריתם מנתח ומשתמש בנתונים והאם הוא מציג מידע הכולל הטיה. יש לחפש בתהליכים העסקיים המשתלבים עם AI את נקודות תורפה ולהעריך את סבירות התממשות אירוע סיכון ואת יעילות הבקרות.
ד.
אימוץ פרספקטיבה של סיכונים - הזדמנויות ליוזמות AI - קצין ניהול סיכונים ומנהל AI יכולים לעבוד יחד באופן יזום ולסקור מודלים AI בפרספקטיבה של סיכונים להטיה, חבלה, תקלה באלגוריתם, ולדווח על כך להנהלה הבכירה ולדירקטוריון כדי להבטיח את טיוב קבלת החלטות.
ה.
התווה גישה לניהול סיכוני IA ודווח על כך לבעלי עניין בשקיפות - פתח מדדי ביצוע ומטריצת סיכונים כדי למדוד יעדים כגון יעילות, הוגנות ושקיפות של מודלי ה IA. הגדר לכל מודל תנאי סף שיאפשרו לבקר אותו ולנקוט צעדי תיקון. צור דאשבורד לדיווח למנהלים ולדירקטוריונים, כמו גם לדווח על ביצועי AI וניהול סיכונים לבעלי עניין (מומלץ להקים צוות של בעלי ידע בניהול סיכון ו AI כדי להציע להנהלה מתודולוגיות ותרחישי תגובת לסיכון).
סיכום
סיכונים הקשורים ל-AI נמצאים יותר ויותר במרכז תשומת הלב, וזאת לאור הגידול ביישומים של טכנולוגית מידע. למן הסיכון שיכול להתרחש עקב הישענות בהליכי קבלת החלטות על נתונים שגויים ועד להיבטים אתים בהפעלת טכנולוגיות אלה, צריכים להעסיק מנהלים הפועלים לאמץ ולהגדיל את יישומי AI בארגונם. יישום מסגרת ERM ביישומי AI יכול לסייע אם כן לארגונים לשפר את ניהול הסיכונים שלהם ולהבטיח כי בהישענם על AI הארגון מודד את הסיכונים הנובעים מכך והוא בוחן האם אכן כלים אלה מסייעים לו למקסם את השגת היעדים האסטרטגיים.