Egy AI-rendszer bevezetése ritkán bukik el azért, mert senki nem ért hozzá technikailag. Sokkal gyakrabban ott keletkezik a valódi kockázat, ahol nem világos, ki dönthet a használatról, ki viseli a felelősséget a kimenetekért, ki ellenőrzi a kontrollokat, és ki állítja meg a rendszert, ha a működés már nem elfogadható.
Az AI-irányítás ezért nem informatikai részfeladat, hanem vezetési kérdés. Az AI irányítási rendszer akkor működik, ha a felelősségek nem informális megállapodásokban, hanem célokban, szerepekben, döntési jogokban, erőforrásokban, dokumentált kontrollokban és számonkérhető működésben jelennek meg. Az ISO/IEC 42001 ezt a logikát menedzsmentrendszerként kezeli: a szervezetnek nemcsak AI-eszközöket kell használnia, hanem irányítania kell az AI-val kapcsolatos kockázatokat, lehetőségeket, folyamatokat és bizonyítékokat is (International Organization for Standardization, 2023).
Miért vezetői felelősség az AI-irányítás?
Az AI-rendszerek szervezeti hatása nem áll meg a fejlesztői vagy IT-terület határán. Egy ügyfélszegmentáló modell érintheti az értékesítést, marketinget, adatvédelmet, információbiztonságot, ügyfélkommunikációt, jogi megfelelést és reputációt is. Ezért a felelős AI-használat nem működhet úgy, hogy a döntések kizárólag technikai csatornákon születnek.
A vezetés szerepe az, hogy világossá tegye, milyen célból használható AI, milyen kockázati szint elfogadható, milyen esetekben kell előzetes jóváhagyás, és mikor kell a használatot korlátozni. Ebben az AI-irányítás vezetői döntési képességet igényel, nem pusztán projektmenedzsmentet. Ha a vezetés nem határozza meg a kereteket, a szervezetben párhuzamos, eltérő minőségű és nehezen ellenőrizhető AI-gyakorlatok alakulhatnak ki.
Az ISO/IEC 42001 szervezeti kontextusban értelmezi az AI irányítási rendszert, vagyis a követelmények nem egyetlen modell műszaki megfelelőségére szűkülnek. A szabványos gondolkodás a célok, felelősségek, kockázatok, kontrollok, dokumentált információk és folyamatos fejlesztés rendszerét helyezi előtérbe. Ez azért fontos, mert az AI-kockázat nem gazdátlan technikai esemény, hanem irányítási feladat, amelyhez döntési jogosultság és elszámoltathatóság tartozik.
A vezetői felelősség nem azt jelenti, hogy a felső vezetésnek minden modellt technikailag értenie kell. Azt jelenti, hogy képesnek kell lennie irányítási kérdéseket feltenni: ki a rendszer üzleti tulajdonosa, milyen döntésekhez használják a kimenetet, hogyan mérik a teljesítményt, milyen kockázatok maradnak fenn, és milyen bizonyítékok alapján állítható, hogy a rendszer kontrolláltan működik.
A NIST AI Risk Management Framework hasonló logikát követ, amikor a „Govern” funkciót az AI-kockázatkezelés egészét átfogó irányítási rétegként kezeli. A keret különbséget tesz a szervezeti irányítás, a kockázatok feltérképezése, mérése és kezelése között, ami jól illeszkedik az AIMS működtetéséhez (National Institute of Standards and Technology, 2023).
A vezetői elkötelezettség akkor válik láthatóvá, ha nemcsak nyilatkozatban jelenik meg, hanem működési döntésekben is. Ilyen döntés lehet például az AI-használati esetek nyilvántartásának létrehozása, a magasabb kockázatú rendszerek jóváhagyási rendje, a kontrollgazdák kijelölése, a belső audit mandátuma vagy az AI-képzések kötelezővé tétele. Ebben a vezetői támogatás erőforrásokban bizonyítható, nem általános szándéknyilatkozatokban.
A vezetés feladata az is, hogy kezelje a felelősség elmosódását. AI-rendszereknél gyakori, hogy az üzleti terület megrendelőként tekint magára, az IT technikai üzemeltetőként, a jogi vagy compliance csapat tanácsadóként, az adatvédelmi szerepkör pedig utólagos ellenőrzőként. Ha nincs kijelölt döntési rend, senki nem érzi teljes tulajdonának a kockázatot.
A gazdátlan AI-kockázat egyik tipikus jele, hogy mindenki „részben illetékes”, de senki nem tud végleges döntést hozni. Ilyenkor a megosztott közreműködés nem azonos a megosztott felelősséggel. A közreműködők tudást és kontrollt adnak, de a döntési felelősséget névvel, szereppel és hatáskörrel kell rögzíteni.
Az EU AI Act kockázatalapú megközelítése szintén azt erősíti, hogy a szervezeteknek a használati célt, a szerepeket, a dokumentációt, az emberi felügyeletet és a kockázatkezelést irányítási kérdésként kell kezelniük, különösen magas kockázatú AI-rendszerek esetén (European Parliament & Council of the European Union, 2024). Ez nem azt jelenti, hogy minden AI-használat azonos szabályozási kategóriába esik, de azt igen, hogy a felelősségi rendnek képesnek kell lennie a kockázatok differenciált kezelésére.
A vezetői felelősség tehát nem adminisztratív ráépítés az AI-projektekre. A szervezet csak akkor tudja biztonságosan és következetesen használni az AI-t, ha a döntési jogok, kontrollok és felülvizsgálatok ugyanolyan természetes részei a működésnek, mint a pénzügyi, minőségügyi vagy információbiztonsági irányítás.
Az AI-irányítás fő szervezeti szerepei
Az AIMS működéséhez több szerep összehangolt munkája szükséges. Nem minden szervezetben ugyanazok az elnevezések jelennek meg, de a felelősségi funkciókat akkor is tisztázni kell, ha egy kisebb szervezetben egy személy több szerepet lát el. A lényeg nem a cím, hanem az, hogy minden kritikus döntésnek és kontrollnak legyen gazdája.
Az egyik legfontosabb szerep az üzleti tulajdonos. Ő felel azért, hogy az AI-rendszer milyen üzleti célra szolgál, milyen folyamatban használják, milyen eredményt várnak tőle, és milyen döntésekhez kapcsolódik a kimenete. Ebben az üzleti tulajdonos a használat értelméért felel, nem a modell belső technikai működéséért. Ha az üzleti cél homályos, a technikai megoldás sem lesz felelősen értékelhető.
A technikai felelős feladata eltérő. Ő a rendszer architektúrájáért, fejlesztési vagy konfigurációs döntéseiért, integrációjáért, működési paramétereiért, technikai korlátaiért és karbantartásáért felel. Fontos azonban, hogy a technikai felelős nem dönthet egyedül arról, hogy egy AI-kimenet milyen üzleti vagy érintetti következményekkel használható.
Az üzleti és technikai felelősség elválasztása nem bürokratikus finomság. Egy modell lehet technikailag jól kialakított, mégis nem megfelelő üzleti célra használva. Ugyanígy egy üzletileg indokolt cél is kockázatossá válhat, ha a rendszer technikai teljesítménye, adatminősége vagy felügyelete nem elegendő. Ezért a felelős AI-használat közös döntési tér, ahol az üzleti és technikai nézőpont nem helyettesíti egymást.
Az adatkezelési és adatvédelmi szerepek külön figyelmet igényelnek. AI-rendszereknél gyakran nemcsak az a kérdés, hogy milyen adatot tárolnak, hanem az is, hogy milyen adatból tanul a rendszer, milyen adatot használ működés közben, hogyan jön létre a kimenet, és felhasználják-e a naplókat későbbi fejlesztésre. Ha személyes adatok is érintettek, a GDPR szerinti adatvédelmi logika, különösen magas kockázatú adatkezelésnél az adatvédelmi hatásvizsgálat, szorosan kapcsolódhat az AI-irányításhoz (European Parliament & Council of the European Union, 2016).
Az információbiztonsági szerepkör feladata, hogy az AI-rendszerhez kapcsolódó bizalmassági, sértetlenségi és rendelkezésre állási kockázatokat értékelje. Ide tartozhat a hozzáférés-kezelés, naplózás, incidenskezelés, beszállítói kapcsolat, modell- és adatvédelem, valamint az üzemeltetési környezet biztonsága. Ebben az AI biztonsága nem csak adatbiztonság, mert a modellkimenet manipulálása, a hibás integráció vagy a kontrollálatlan hozzáférés is működési kockázatot okozhat.
A jogi vagy compliance szerepkör nem pusztán a bevezetés végén ad jóváhagyást. Korán be kell vonni, ha a használati eset szabályozási kérdést vet fel, például magas kockázatú AI-használatot, adatvédelmi hatást, fogyasztóvédelmi következményt, munkajogi érzékenységet, szerződéses kockázatot vagy beszállítói felelősséget. A compliance nézőpont akkor hasznos, ha nem utólag tilt, hanem előre segít a működési feltételek meghatározásában.
A kontrollgazdák azok a szereplők, akik egy-egy konkrét kontroll működéséért felelnek. Lehet ilyen kontroll a rendszeres teljesítménymérés, a méltányossági teszt, az adatforrás-ellenőrzés, az emberi felülvizsgálat, a beszállítói dokumentáció bekérése, a változásnapló vezetése vagy a panaszok elemzése. Itt a kontroll csak akkor létezik, ha valaki működteti, különben a dokumentációban szereplő elv nem válik gyakorlattá.
A belső audit vagy független ellenőrzési funkció szerepe nem az, hogy átvegye az üzemeltetők feladatát. Az audit azt vizsgálja, hogy a szervezet meghatározta-e a követelményeket, működteti-e a kontrollokat, megvannak-e a bizonyítékok, és a döntések összhangban vannak-e az AIMS céljaival. Raji és munkatársai az algoritmikus auditálásnál szintén azt hangsúlyozzák, hogy az auditálható működéshez életcikluson átívelő dokumentációra, szerepekre és ellenőrzési pontokra van szükség (Raji et al., 2020).
A vezetői szint mellett szükség van operatív szerepekre is. Ide tartozhatnak a rendszerfelhasználók, folyamatgazdák, ügyfélszolgálati vezetők, HR-felelősök, adatgazdák vagy beszerzési szakértők. Ők látják, hogyan működik az AI a mindennapokban, hol keletkezik félreértés, hol romlik a minőség, és hol válik a rendszer túlzottan befolyásolóvá.
A szerepek kijelölésénél nem elég a szervezeti hierarchiát követni. Az AI-használati eset hatása alapján kell eldönteni, kit kell bevonni. Egy marketingtámogató szöveggeneráló eszköz más szerepeket igényelhet, mint egy ügyfélszegmentáló modell vagy munkavállalói teljesítményértékelést támogató rendszer. Ilyenkor a felelősségi modellnek a használati esethez kell igazodnia, nem fordítva.
A szervezet akkor jár el éretten, ha minden AI-rendszerhez legalább három szintet tisztáz: ki a használati cél üzleti gazdája, ki a technikai működés felelőse, és ki ellenőrzi a kockázatokat kezelő kontrollokat. A további szerepek — jogi, adatvédelmi, információbiztonsági, audit, beszerzési vagy HR — a kockázati profil alapján kapcsolódnak be.
Felelősségi mátrix és kontrollgazdák az AIMS-ben
A felelősségi mátrix az egyik legegyszerűbb, mégis leghasznosabb eszköz az AI-irányításban. Segít megmutatni, ki dönt, ki hajt végre, ki ellenőriz, kit kell bevonni, és kit kell tájékoztatni. Egy AI irányítási rendszerben ez különösen fontos, mert az AI-használati esetek gyakran több szervezeti területet érintenek egyszerre.
A felelősségi mátrix nem puszta adminisztráció. Akkor van értéke, ha valós döntési helyzeteket fed le: új AI-rendszer jóváhagyása, adatforrás elfogadása, modellváltozás kezelése, teljesítményromlás értékelése, incidens bejelentése, beszállító cseréje, emberi felügyelet módosítása vagy a rendszer leállítása. Ebben a mátrix a döntési bizonytalanságot csökkenti, mert előre tisztázza, kihez kell fordulni.
A klasszikus RACI-logika — felelős, elszámoltatható, konzultált, tájékoztatott — jól használható AI-rendszereknél, de nem szabad mechanikusan alkalmazni. A kritikus döntéseknél különösen fontos, hogy csak egy végső elszámoltatható szereplő legyen. Több közreműködő lehet, de ha mindenki egyformán „felelős”, akkor a gyakorlatban gyakran senki nem vállalja a végső döntést.
Egy AI-alapú ügyfélszegmentáló rendszer esetén a felelősségi mátrix például így épülhet fel:
Terület vagy döntés
Üzleti tulajdonos
Technikai felelős
Adatvédelmi/compliance szerep
Információbiztonság
Kontrollgazda
Vezetés
Üzleti cél meghatározása
elszámoltatható
konzultált
konzultált
tájékoztatott
tájékoztatott
jóváhagyó
Adatforrás elfogadása
konzultált
felelős
konzultált
konzultált
elszámoltatható
tájékoztatott
Kockázatértékelés
felelős
konzultált
konzultált
konzultált
elszámoltatható
jóváhagyó magas kockázatnál
Modellváltozás
konzultált
elszámoltatható
tájékoztatott
konzultált
felelős
tájékoztatott
Teljesítménymonitoring
felelős
felelős
tájékoztatott
tájékoztatott
elszámoltatható
tájékoztatott
Incidenskezelés
konzultált
felelős
konzultált
elszámoltatható
felelős
tájékoztatott vagy döntéshozó
Használat leállítása
konzultált
konzultált
konzultált
konzultált
javaslattevő
elszámoltatható
A táblázat csak akkor működik, ha nem általános névjegyzék marad. Minden szereplőnek értenie kell, milyen döntési helyzetben mit várnak tőle. Ezért a felelősségi mátrix képzési eszköz is, nem csak auditdokumentum. Ha a szereplők nem ismerik saját feladatukat, a mátrix formálisan létezik, de a kontroll nem működik.
A kontrollgazdák kijelölése különösen fontos. Egy kontrollgazda nem feltétlenül felső vezető, de világos mandátummal kell rendelkeznie. Tudnia kell, milyen kontrollt működtet, milyen gyakorisággal, milyen bizonyítékot kell előállítania, milyen eltérést kell jeleznie, és kinek kell eszkalálnia, ha a kontroll nem működik.
Az ISO 31000 általános kockázatkezelési logikája is hangsúlyozza, hogy a kockázatkezelésnek be kell épülnie a szervezeti működésbe, és támogatnia kell a döntéshozatalt (International Organization for Standardization, 2018). AI-környezetben ez azt jelenti, hogy a kockázatértékelés nem különálló megfelelőségi fájl, hanem szerepekhez, kontrollokhoz és intézkedésekhez kapcsolódó működési folyamat.
A felelősségi mátrixnak kezelnie kell a változásokat is. AI-rendszereknél a kockázat nem csak bevezetéskor keletkezik. Változhat az adatforrás, az üzleti cél, a modellverzió, a felhasználói kör, a beszállító, az integráció vagy a szabályozási környezet. Ilyenkor a változás felelősségi esemény, nem pusztán technikai módosítás.
A dokumentálatlan változás különösen veszélyes. Ha egy modell új adattípusokat kezd használni, új ügyfélkörre terjesztik ki, vagy más üzleti döntéshez kapcsolják, a korábbi kockázatértékelés már nem biztos, hogy érvényes. A felelősségi mátrixnak ezért tartalmaznia kell, ki kezdeményezhet változást, ki értékeli a hatását, és ki adhat engedélyt az élesítésre.
Az AI-rendszerek működésében gyakori a beszállítói függőség is. Külső AI-eszköz, felhőszolgáltatás, API, tanított modell vagy tanácsadói megoldás esetén a szervezet nem mondhat le a saját felelősségéről. A beszállító technikai dokumentációt, biztonsági információt vagy támogatást adhat, de az üzleti használat következményeit a szervezetnek kell irányítania.
A beszállítói kapcsolatoknál a felelősségi mátrixnak rögzítenie kell, ki értékeli a szolgáltató dokumentációját, ki vizsgálja a szerződéses feltételeket, ki ellenőrzi az adatkezelési rendelkezéseket, és ki fogadja el a maradványkockázatot. Ebben a kiszervezés nem jelenti a felelősség kiszervezését, legfeljebb a feladatok megosztását.
A felelősségi mátrixot rendszeresen felül kell vizsgálni. Egy szervezet AI-érettsége változhat: új rendszerek jelennek meg, új szerepek alakulnak ki, erősödik a belső audit, vagy külön AI governance fórum jön létre. A mátrix akkor marad hasznos, ha követi ezt a fejlődést, és nem csak a tanúsítási felkészülés idején frissül.
Az AIMS-ben a felelősségi mátrix végső célja nem az, hogy minden lehetséges helyzetet túlszabályozzon. A cél az, hogy a kritikus AI-döntések ne maradjanak informális egyeztetésekre, egyéni jóindulatra vagy technikai feltételezésekre bízva. A felelős működéshez előre ismert döntési utakra van szükség.
A vezetői elkötelezettség bizonyítékai
A vezetői elkötelezettség nem attól bizonyítható, hogy a szervezet stratégiai dokumentumokban támogatja az AI-t. A valódi bizonyíték az, hogy a vezetés célokat határoz meg, erőforrásokat rendel, szerepeket jelöl ki, kockázati döntéseket hoz, felülvizsgálatot kér, és számon kéri a működést. Ez teszi különbséggé a deklarált AI-ambíciót és a tényleges AI-irányítást.
Az ISO/IEC 38507 kifejezetten az AI szervezeti használatának irányítási következményeire ad útmutatást a vezető testületek számára, külön hangsúlyozva az AI hatékony, eredményes és elfogadható használatát (International Organization for Standardization, 2022). Ez a vezetői nézőpont azért lényeges, mert az AI elfogadhatósága nem csak teljesítménykérdés, hanem etikai, kockázati, jogi és szervezeti döntés is.
A vezetői elkötelezettség egyik bizonyítéka az AI-politika vagy AI-irányítási alapelv elfogadása. Ez nem lehet túl általános szöveg. Tartalmaznia kell, milyen célokra támogatott az AI használata, milyen kockázatokat kell előzetesen vizsgálni, mikor szükséges vezetői jóváhagyás, és milyen elvek alapján történik a kontrollok kijelölése.
A második bizonyíték az erőforrás. Egy AIMS nem működik idő, kompetencia, eszköz és felelős nélkül. Ha a szervezet AI-kockázatkezelést vár el, de nem ad időt a kockázatértékelésre, nem képez kontrollgazdákat, nem biztosít auditkapacitást, és nem tart fenn nyilvántartást, akkor az elkötelezettség nem válik működéssé. Ebben az erőforrás nélküli elvárás kontrollhiányt termel, még akkor is, ha a szándék helyes.
A harmadik bizonyíték a döntési fórum. Magasabb kockázatú AI-használati eseteknél szükség lehet olyan fórumra, ahol üzleti, technikai, jogi, adatvédelmi, információbiztonsági és compliance szempontok együtt jelennek meg. Ez lehet külön AI governance testület, kockázati bizottság, meglévő megfelelőségi fórum kibővített mandátummal, vagy kisebb szervezetben kijelölt vezetői döntési pont.
A negyedik bizonyíték a rendszeres vezetői felülvizsgálat. Az AI irányítási rendszer nem egyszeri bevezetési projekt, hanem folyamatos működés. A vezetésnek időről időre látnia kell az AI-használati esetek listáját, a fő kockázatokat, incidenseket, kontrollhibákat, auditmegállapításokat, képzési állapotot és fejlesztési intézkedéseket. Itt a felülvizsgálat az irányítás visszacsatolása, nem pusztán tájékoztató prezentáció.
Az OECD AI Principles az elszámoltathatóságot, átláthatóságot, robusztusságot és emberközpontú működést a megbízható AI alapvető elveiként kezeli (OECD, 2019). Szervezeti környezetben ezek az elvek akkor válnak gyakorlattá, ha szerepekhez, kontrollokhoz, döntésekhez és bizonyítékokhoz kapcsolódnak. Az elv önmagában nem auditálható; a működés igen.
A vezetői elkötelezettség ötödik bizonyítéka a számonkérés. Ha egy AI-rendszerhez kijelöltek üzleti tulajdonost, technikai felelőst és kontrollgazdát, akkor a vezetésnek nyomon kell követnie, hogy ezek a szerepek ténylegesen működnek-e. Ez nem hibakereső szemléletet jelent, hanem azt, hogy az AI-kockázatok kezelését a szervezet ugyanolyan komolyan veszi, mint más irányítási területeket.
A gazdátlan AI-kockázatok felismerése különösen fontos vezetői feladat. A szervezetben több jel is utalhat arra, hogy a felelősségi rend nem működik megfelelően:
az AI-használati esetekről nincs teljes nyilvántartás;
a pilotok éles következményekkel működnek, de nincs jóváhagyási rend;
a technikai csapat üzleti döntési felelősséget visel;
az üzleti terület nem ismeri a rendszer technikai korlátait;
az adatvédelmi és compliance bevonás utólagos;
a kontrollok szerepelnek a dokumentációban, de nincs kontrollgazda;
a modellváltozások nem indítanak új kockázatértékelést;
az incidensek után nincs vezetői tanulságlevonás;
a beszállítói AI-megoldásokért senki nem vállal szervezeti felelősséget.
Ezek a jelek nem feltétlenül rossz szándékra utalnak. Gyakran abból fakadnak, hogy az AI gyorsabban terjed a szervezetben, mint ahogy az irányítási rend kialakul. Ilyenkor az AI-érettség első lépése a láthatóvá tétel, vagyis a rendszerek, döntések, felelősök és kontrollok feltérképezése.
A vezetői elkötelezettségnek a kultúrában is meg kell jelennie. Ha a szervezet azt üzeni, hogy az AI használata támogatott, de a kockázatok jelzése kellemetlen akadékoskodásnak számít, akkor a kontrollok formálissá válnak. A felelős működéshez olyan környezet kell, ahol a munkatársak jelezhetik a hibát, bizonytalanságot vagy etikailag kényes helyzetet.
A belső kommunikáció ezért nem mellékes. A felhasználóknak tudniuk kell, mikor használhatnak AI-eszközt, milyen adatot nem vihetnek be, mikor kell emberi felülvizsgálat, hogyan jelentsenek hibát, és milyen esetben kell a kimenetet megkérdőjelezni. Ebben a felelősség nem áll meg a kijelölt szerepeknél, mert a mindennapi működésben a felhasználói döntések is kockázatot alakítanak.
A képzés szintén bizonyíték. Nem minden munkatársnak kell ugyanazt tudnia az AI-ról, de minden érintett szerepnek értenie kell a saját felelősségét. Az üzleti tulajdonosnak a használati célokat és hatásokat, a technikai felelősnek a működési korlátokat, a kontrollgazdának a bizonyítékokat, a vezetésnek pedig a döntési és felülvizsgálati kérdéseket kell ismernie.
A vezetői elkötelezettség végül abban mérhető, hogy a szervezet mit tesz, amikor az AI-rendszer problémát jelez. Ha teljesítményromlás, elfogultsági jelzés, adatminőségi hiba, ügyfélpanasz vagy incidens jelenik meg, a vezetésnek nemcsak utólagos magyarázatot kell kérnie, hanem intézkedést, felelőst és határidőt kell kijelölnie. Itt a hibakezelés az AI-irányítás érettségi próbája, mert megmutatja, hogy a rendszer valóban működik-e nyomás alatt.
Az AI-irányítási felelősségek kialakítása tehát nem szervezeti rajz készítése. A feladat az, hogy az AI használata mögött döntésképes, bizonyítékokkal alátámasztható és folyamatosan fejleszthető irányítási rend álljon. Egy szervezet akkor tud felelősen AI-t használni, ha nemcsak azt tudja megmondani, mire képes a rendszer, hanem azt is, ki döntött a használatáról, ki ellenőrzi a kockázatait, ki tartja karban a kontrollokat, és ki vállalja a felelősséget a következményekért.
Felhasznált szakirodalom
European Parliament & Council of the European Union. (2016). Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj
European Parliament & Council of the European Union. (2024). Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
International Organization for Standardization. (2018). ISO 31000:2018: Risk management — Guidelines. ISO. https://www.iso.org/standard/65694.html
International Organization for Standardization. (2022). ISO/IEC 38507:2022: Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations. ISO. https://www.iso.org/standard/56641.html
International Organization for Standardization. (2023). ISO/IEC 42001:2023: Information technology — Artificial intelligence — Management system. ISO. https://www.iso.org/standard/42001
National Institute of Standards and Technology. (2023). Artificial intelligence risk management framework (AI RMF 1.0). U.S. Department of Commerce. https://doi.org/10.6028/NIST.AI.100-1
OECD. (2019). OECD AI Principles. OECD.AI Policy Observatory. https://oecd.ai/en/ai-principles
Raji, I. D., Smart, A., White, R. N., Mitchell, M., Gebru, T., Hutchinson, B., Smith-Loud, J., Theron, D., & Barnes, P. (2020). Closing the AI accountability gap: Defining an end-to-end framework for internal algorithmic auditing. Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency, 33–44. https://doi.org/10.1145/3351095.3372873