Egy szervezetben az AI használata gyakran gyorsabban terjed, mint ahogy a belső szabályozás követni tudná. Először megjelenik egy generatív AI-eszköz a marketingben, egy előrejelző modell az értékesítésben, egy chatbot az ügyfélszolgálaton, majd hirtelen már nem az a kérdés, használ-e a szervezet mesterséges intelligenciát, hanem az, hogy tudja-e irányítani.
Az AI-politika, az AI-irányítási célok és a belső szabályok ezt a helyzetet teszik kezelhetővé. Nem technológiai kézikönyvről van szó, hanem olyan szervezeti iránytűről, amely megmondja, milyen célból, milyen értékek mentén, milyen korlátokkal és milyen felelősségi rendben használható az AI. Az ISO/IEC 42001 logikája szerint az AI irányítási rendszer nem egyszeri megfelelőségi dokumentum, hanem olyan irányítási rendszer, amely politikákat, célokat és folyamatokat kapcsol össze a felelős AI-használat érdekében (International Organization for Standardization, 2023a).
Az AI-politika szerepe a szervezeti irányításban
Az AI-politika a szervezet mesterséges intelligenciához kapcsolódó alapállását rögzíti. Nem elég annyit kimondani, hogy a szervezet „felelősen használja az AI-t”, mert ez önmagában nem irányít döntést, nem oszt felelősséget, és nem ad támpontot egy konkrét használati helyzetben. A politika akkor működik, ha világosan összeköti az üzleti célokat, az etikai elveket, a kockázati határokat és a jóváhagyási rendet.
Egy jól megfogalmazott AI-politika nem a technológiából indul ki, hanem a szervezeti célból. Ebben az AI-politika nem eszközlista, hanem döntési keret, amely megmutatja, milyen célokra tartja elfogadhatónak a szervezet az AI alkalmazását. Más szabály kell egy belső tudáskereső rendszerhez, mint egy ügyfélprofilozó modellhez vagy egy munkavállalói teljesítményt elemző megoldáshoz.
Az AI-politika minimális tartalma általában öt nagy kérdésre ad választ. Ezeket érdemes röviden, de ellenőrizhető módon rögzíteni:
milyen célból használható az AI;
milyen értékek és irányítási elvek mellett működhet;
milyen szerepek és felelősségek kapcsolódnak hozzá;
milyen kockázati vagy megfelelőségi korlátok érvényesek;
milyen jóváhagyási, felülvizsgálati és dokumentálási kötelezettségek szükségesek.
A politika akkor ad valódi iránymutatást, ha a szervezet mindennapi döntéseiben is használható. Egy új AI-eszköz beszerzésénél például nem elég azt vizsgálni, hogy a termék hatékony-e vagy olcsóbbá tesz-e egy folyamatot. Ilyenkor a felelős AI-használat már a beszerzésnél kezdődik, mert a kockázatok egy része a beszállító, az adatfelhasználás, a modellkorlátok és a szerződéses felelősségek szintjén jelenik meg.
Az AI-politikának a szervezet stratégiájához is illeszkednie kell. Ha az üzleti cél a gyors automatizálás, de a politika nem határozza meg, hol szükséges emberi felügyelet, akkor a gyorsaság könnyen a kontrollok rovására mehet. Ha a szervezet ügyfélbizalmat épít, de nem mondja ki, mikor kell átláthatóvá tenni az AI használatát, akkor az ügyfélélmény és a megfelelőség között feszültség alakulhat ki.
Az OECD AI-elvek a megbízható, emberközpontú, jogokat tiszteletben tartó és elszámoltatható AI-használatot hangsúlyozzák (OECD, 2019). Ez a szervezeti politikában nem általános értéknyilatkozatként, hanem konkrét működési elvként jelenik meg. Ilyen elv lehet például, hogy az AI nem hozhat önállóan magas hatású döntést megfelelő emberi felülvizsgálat nélkül, vagy hogy személyes adatot csak előzetesen jóváhagyott célra és jogszerű feltételek mellett lehet használni.
A politika egyik legfontosabb funkciója a határok kijelölése. Ebben a jó politika nemcsak engedélyez, hanem korlátoz is, mert a szervezetnek tudnia kell, milyen AI-használat nem fér össze a céljaival, kockázattűrésével vagy jogi környezetével. A korlátok hiánya gyakran informális döntésekhez vezet: a munkatársak saját értelmezésük szerint kezdenek AI-eszközöket használni, miközben nem világos, milyen adatot vihetnek be, milyen kimenetet használhatnak fel, és ki viseli a felelősséget.
A politika nem lehet túl részletes sem. Ha minden technikai lépést ebben próbál rögzíteni a szervezet, gyorsan elavul, és elveszíti irányító szerepét. A megfelelő megoldás az, hogy a politika magas szintű elveket és döntési határokat ad, a belső szabályok pedig részletezik az egyes helyzeteket. Így a politika stabil, a szabályozás pedig alkalmazkodóképes marad, ami különösen fontos a gyorsan változó AI-környezetben.
A megbízható AI európai etikai iránymutatása hét kulcskövetelmény köré rendezi a felelős AI működését: emberi felügyelet, technikai robusztusság és biztonság, adatvédelem és adatirányítás, átláthatóság, sokféleség és megkülönböztetésmentesség, társadalmi és környezeti jóllét, valamint elszámoltathatóság (High-Level Expert Group on Artificial Intelligence, 2019). Ezek a szempontok akkor hasznosak egy szervezet számára, ha nem külön plakátként jelennek meg, hanem visszaköszönnek a célokban, a kontrollokban és a döntési szabályokban.
Az AI-politika végső soron azt akadályozza meg, hogy a szervezet minden AI-kérdést eseti vitaként kezeljen. Egyértelmű irány nélkül a döntések személyfüggővé válnak: az egyik terület megengedőbb, a másik óvatosabb, a harmadik pedig szabályozás nélkül kísérletezik. Ilyenkor a következetlenség maga is AI-kockázattá válik, mert ugyanazt a technológiát eltérő felelősségi és kontrollszint mellett használják.
Mérhető AI-irányítási célok kialakítása
Az AI-politika csak akkor válik menedzsmentrendszer-szintű irányítássá, ha mérhető célok kapcsolódnak hozzá. A célok adják meg, hogy a szervezet mit akar elérni az AI-irányítással: nemcsak azt, hogy „megfelelően” működjön, hanem azt is, hogyan lehet ezt ellenőrizni. Az ISO/IEC 42001 szemléletében a politika és a célok összetartoznak, mert a célok fordítják le az irányelveket működési eredményekké (International Organization for Standardization, 2023a).
A mérhető cél nem feltétlenül számszerű teljesítménymutató, de ellenőrizhetőnek kell lennie. Ebben az AI-cél akkor jó, ha bizonyítékhoz köthető, vagyis megállapítható, hogy teljesült-e, részben teljesült-e vagy intézkedést igényel. Egy cél például szólhat arról, hogy minden új AI-használati eset előzetes kockázati értékelésen menjen át, vagy hogy magas hatású rendszereknél dokumentált emberi felülvizsgálati rend működjön.
A célokat a szervezeti stratégiához kell igazítani. Ha az AI-t ügyfélszolgálati hatékonyság javítására használják, akkor cél lehet a válaszidő csökkentése, de ezt ki kell egészíteni minőségi és kockázati célokkal is. Például nem elegendő a gyorsabb válaszadás, ha közben nő a hibás tájékoztatás vagy az ügyfélpanaszok száma. Ilyenkor a hatékonysági cél nem írhatja felül a felelős működést, hanem együtt kell mérni a pontossággal, panaszkezeléssel és emberi beavatkozási lehetőséggel.
A céloknak kockázatokhoz is kapcsolódniuk kell. Az AI-rendszerek kockázatai lehetnek jogi, etikai, adatvédelmi, információbiztonsági, üzleti, reputációs vagy társadalmi hatásúak. A NIST AI Risk Management Framework a kockázatkezelést a Govern, Map, Measure és Manage funkciók mentén rendezi, vagyis a szervezetnek nemcsak azonosítania kell a kockázatokat, hanem mérnie, kezelnie és irányítási szinten beépítenie is kell őket (National Institute of Standards and Technology, 2023).
Egy célrendszer akkor használható, ha nem csak megfelelőségi jellegű. A felelős AI-irányításban a célok három szinten jelenhetnek meg:
Irányítási célok: például minden AI-használati eset rendelkezzen tulajdonossal, kockázati besorolással és jóváhagyási nyomvonallal.
Működési célok: például a felhasználók kapjanak útmutatót az AI-kimenetek értelmezéséhez és korlátaihoz.
Kontrollcélok: például magas kockázatú rendszereknél legyen naplózás, rendszeres felülvizsgálat és dokumentált változáskezelés.
A célok túl általános megfogalmazása gyakori hiba. Az olyan mondat, hogy „az AI-rendszereket etikusan használjuk”, fontos irányelv lehet, de célként nehezen ellenőrizhető. Jobb megfogalmazás például: „minden ügyfélre ható AI-rendszernél dokumentálni kell az ügyfélhatást, a panaszkezelési lehetőséget és az emberi felülvizsgálat feltételeit”. Ebben az etikai elv ellenőrizhető folyamattá válik, nem marad általános szándék.
A célok meghatározásánál érdemes figyelni arra, hogy ne csak a modell teljesítményét mérjék. Egy AI-rendszer lehet statisztikailag pontos, miközben üzletileg félrevezető, adatvédelmileg kockázatos vagy szervezetileg rosszul használható. Ezért az AI-irányítási céloknak ki kell terjedniük a rendszer céljára, adatainak kezelésére, felhasználási korlátaira, emberi döntési szerepére és auditálhatóságára is.
A célok tulajdonos nélkül nem működnek. Ha nincs kijelölt felelős, akkor a cél csak dokumentumban létezik. Egy AI-irányítási célhoz ezért hozzá kell rendelni a felelős szerepkört, a mérési módot, a felülvizsgálati gyakoriságot és azt, hogy eltérés esetén mi történik. Ilyenkor a cél nem kívánság, hanem számon kérhető működési vállalás, amelyet vezetői felülvizsgálatban és belső auditban is értelmezni lehet.
A céloknak arányosnak kell lenniük a szervezet méretével és kockázati profiljával. Egy kisebb szervezetnek nem feltétlenül kell bonyolult AI-irányítási mutatórendszert építenie, de alapvető célokra akkor is szüksége van: használati esetek nyilvántartása, adatkezelési feltételek ellenőrzése, felelősségek kijelölése, és legalább minimális felhasználói útmutatás. A lényeg az, hogy a célok ne legyenek elszakítva a tényleges AI-használattól.
A mérhető célok a folyamatos fejlesztés alapját is megteremtik. Ha a szervezet látja, hogy bizonyos AI-eszközök túl sok kivételt, panaszt vagy kézi korrekciót igényelnek, akkor nemcsak technikai hibát lát, hanem irányítási jelzést is. Ezért a jó célrendszer tanulási mechanizmus is, amely segít felismerni, hol kell szabályt, kontrollt, képzést vagy jóváhagyási rendet módosítani.
Etikai elvekből gyakorlati belső szabályok
A belső szabályok feladata, hogy az AI-politika elveit konkrét döntési helyzetekre fordítsák le. Az etikai elvek fontosak, de egy munkatársnak gyakran nem elég azt tudnia, hogy az AI-használat legyen átlátható, méltányos és biztonságos. A gyakorlatban arra van szüksége, hogy tudja: milyen adatot vihet be egy generatív AI-eszközbe, mikor kell jóváhagyást kérnie, hogyan ellenőrizze a kimenetet, és mikor tilos az AI használata.
Az etikai elv és a szabály között az a különbség, hogy az elv irányt ad, a szabály döntést tesz lehetővé. Ebben a belső szabály az elv működési fordítása, amely konkrét szereplőknek, konkrét helyzetekben ad választ. Például az „adatvédelem tiszteletben tartása” elvből olyan szabály következhet, hogy ügyféladatot nyilvános vagy szervezetileg nem jóváhagyott generatív AI-eszközbe nem lehet bevinni.
A szabályoknak ki kell terjedniük az AI-életciklus fontos pontjaira. Nem csak a használatra kell gondolni, hanem a tervezésre, beszerzésre, adatfelhasználásra, tesztelésre, jóváhagyásra, működtetésre, monitoringra és kivezetésre is. Az ISO/IEC 23894 kockázatkezelési útmutatója is azt hangsúlyozza, hogy az AI-kockázatkezelést a szervezet AI-hoz kapcsolódó tevékenységeibe és funkcióiba kell integrálni (International Organization for Standardization, 2023b).
Egy belső AI-szabályozásban különösen fontosak az alábbi témák:
új AI-eszköz vagy szolgáltatás beszerzésének előzetes vizsgálata;
AI-használati esetek nyilvántartása és kockázati besorolása;
személyes, érzékeny vagy üzleti titkot képező adatok felhasználási korlátai;
emberi felügyelet és kimenetellenőrzés követelményei;
AI-kimenetek jóváhagyása ügyfélkommunikáció, HR, jogi vagy pénzügyi döntések előtt;
beszállítói felelősségek és dokumentációs elvárások;
incidensek, hibák, panaszok és kivételek kezelése.
A generatív AI-eszközök használata különösen jó példa arra, miért kell gyakorlati szabály. Egy munkatárs számára nem mindig egyértelmű, hogy egy ügyfélpanasz, szerződéstervezet vagy belső stratégiai dokumentum milyen adatvédelmi, üzleti titokvédelmi vagy megfelelőségi kockázatot hordoz. Ilyenkor a szabály célja nem a használat tiltása, hanem a biztonságos határok kijelölése, hogy a hasznos alkalmazások ne keveredjenek kockázatos vagy jogszerűtlen gyakorlatokkal.
Egy rövid szabályrészlet például így működhet egy generatív AI-eszköz ügyféladatokkal történő használatára:
Ügyfélazonosításra alkalmas személyes adat csak jóváhagyott, szerződésesen és adatvédelmileg ellenőrzött AI-eszközben használható.
Nyilvános vagy nem jóváhagyott generatív AI-eszközbe ügyféladat, szerződéses adat, panaszrészlet vagy üzleti titok nem vihető be.
AI által készített ügyfélkommunikáció csak emberi ellenőrzés után küldhető ki.
Az AI-kimenet nem tekinthető hivatalos jogi, pénzügyi vagy ügyfélpanasz-döntésnek kijelölt felelős jóváhagyása nélkül.
Minden rendellenes vagy téves kimenetet a kijelölt folyamatgazdának kell jelezni.
Az ilyen szabályrészlet azért használható, mert konkrét döntési helyzetet kezel. Nem csak azt mondja ki, hogy a szervezet fontosnak tartja az adatvédelmet, hanem meghatározza, mit tehet és mit nem tehet a munkatárs. Ebben a jó szabály csökkenti az értelmezési teret, miközben nem akadályozza indokolatlanul a jogszerű és kontrollált AI-használatot.
A GDPR miatt személyes adatok esetén különösen fontos a jogalap, célhoz kötöttség, adatminimalizálás, átláthatóság és érintetti jogok kezelése (European Parliament & Council of the European Union, 2016). AI-rendszereknél ezek a követelmények gyakorlati szabályokban jelennek meg: milyen adat használható, milyen célra, ki férhet hozzá, meddig őrizhető meg, hogyan tájékoztatják az érintettet, és milyen módon lehet vitatni vagy felülvizsgáltatni egy döntést.
A belső szabályoknak a kimenetek használatára is ki kell térniük. Sok AI-kockázat nem abból fakad, hogy a modell önmagában hibázik, hanem abból, hogy a szervezet túl nagy döntési súlyt ad a kimenetnek. Ezért az AI-kimenet felhasználási módja kontrollkérdés, különösen akkor, ha ügyfélre, munkavállalóra, partnerre vagy üzleti kockázatra ható döntésben jelenik meg.
A szabályozásnak különbséget kell tennie döntéstámogatás és automatizált döntés között. Ha az AI csak javaslatot ad, akkor szabályozni kell, ki és hogyan értékeli a javaslatot. Ha a rendszer automatikusan lépést indít, akkor erősebb kontrollokra, naplózásra, tesztelésre és felülvizsgálatra van szükség. Az AI Act kockázatalapú logikája is azt erősíti, hogy a magasabb hatású alkalmazásoknál szigorúbb követelmények és dokumentált irányítási mechanizmusok szükségesek (European Parliament & Council of the European Union, 2024).
A szabályokat nem szabad kizárólag jogi nyelven megfogalmazni. A munkatársaknak használható útmutatásra van szükségük, nem csak megfelelőségi deklarációkra. A jó belső szabály rövid, helyzetorientált, szerepkörökhöz kapcsolt és példákkal értelmezhető. Ilyenkor a szabály akkor erős, ha a napi munkában is érthető, nem csak audit során mutatható be.
Tiltott, korlátozott és jóváhagyott AI-használatok
Az AI-politika és a belső szabályok egyik legfontosabb feladata, hogy megkülönböztessék a tiltott, korlátozott és jóváhagyott AI-használatokat. Ez a kategorizálás azért hasznos, mert nem minden AI-kockázatra ugyanaz a válasz. Van, amit egyértelműen meg kell tiltani, van, amit feltételekhez kell kötni, és van, amit jóváhagyott keretek között lehet támogatni.
A tiltott AI-használat olyan alkalmazás, amely nem fér össze a szervezet jogi, etikai, kockázati vagy üzleti határaival. Ide tartozhat például a nem jóváhagyott eszközbe bevitt ügyféladat, a titkos vagy szerződéses adat nyilvános generatív AI-ba másolása, vagy olyan AI-kimenet önálló felhasználása, amely magas hatású döntést befolyásol emberi felülvizsgálat nélkül. Ebben a tiltás a kockázati határ egyértelmű kijelölése, nem technológiaellenes álláspont.
A korlátozott AI-használat olyan helyzet, amely nem eleve elfogadhatatlan, de feltételekhez kötött. Ilyen lehet egy új ügyfélszegmentáló modell pilotfázisa, egy HR-támogató elemzőeszköz, vagy egy generatív AI-val támogatott ügyfélválasz-tervezet készítése. Ezekben az esetekben előzetes jóváhagyás, kockázatértékelés, adatvédelmi vizsgálat, emberi ellenőrzés vagy monitoring lehet szükséges.
A jóváhagyott AI-használat olyan alkalmazás, amelyre a szervezet már meghatározta a célt, a felelőst, a kockázati feltételeket, az adatkezelési kereteket és a kontrollokat. Ez nem jelenti azt, hogy a rendszer kockázatmentes. Azt jelenti, hogy a kockázatokat azonosították, elfogadták vagy kezelték, és a használat ellenőrizhető keretek között történik. Ilyenkor a jóváhagyás nem egyszeri engedély, hanem feltételes működési állapot, amely változás esetén újraértékelést igényel.
A három kategória gyakorlati alkalmazását egy egyszerű táblázat is segítheti:
Kategória
Jellemző helyzet
Szervezeti válasz
Tipikus bizonyíték
Tiltott használat
nem jóváhagyott AI-eszköz ügyféladattal
használat megtiltása, incidenskezelés
szabály, tiltási lista, incidensnapló
Korlátozott használat
AI-kimenet döntéstámogatásra magasabb hatású folyamatban
előzetes vizsgálat, emberi felülvizsgálat
kockázatértékelés, jóváhagyás, kontrollleírás
Jóváhagyott használat
kontrollált chatbot vagy belső tudáskereső rendszer
működtetés szabályozott feltételekkel
használati eset nyilvántartása, monitoring, felelős kijelölése
A kategóriák akkor működnek, ha a szervezet nemcsak felsorolja őket, hanem döntési logikát is kapcsol hozzájuk. Például: ha személyes adat érintett, adatvédelmi vizsgálat szükséges; ha ügyfélre ható döntésben használják a kimenetet, emberi ellenőrzés kell; ha új beszállítói AI-funkció kerül bevezetésre, szerződéses és információbiztonsági vizsgálat szükséges. Ilyenkor a szabályozás döntési útvonalat ad, nem pusztán tiltásokat gyűjt.
A tiltott használatok listája legyen rövid és egyértelmű. Ha túl hosszú vagy túl absztrakt, a munkatársak nem fogják megjegyezni. Érdemes olyan helyzeteket nevesíteni, amelyek valóban magas kockázatot jelentenek: személyes adatok jogosulatlan bevitele, üzleti titkok külső AI-rendszerbe töltése, AI-kimenet ellenőrizetlen ügyfélkommunikációban való használata, vagy szabályozott döntési folyamat megkerülése.
A korlátozott használatoknál a feltételek a legfontosabbak. Nem elég annyit írni, hogy „csak jóváhagyással használható”. Meg kell határozni, ki hagy jóvá, milyen információ alapján, milyen időtávra, milyen kontrollok mellett, és milyen változás esetén kell új jóváhagyás. Ebben a jóváhagyási rend a felelősség nyomvonala, amely később auditban, incidenskezelésben vagy vezetői felülvizsgálatban is használható.
A jóváhagyott használatok nyilvántartása szintén alapvető. Ha a szervezet nem tudja, milyen AI-rendszereket használ, akkor nem tudja hatékonyan kezelni a kockázatokat sem. A nyilvántartás tartalmazhatja a rendszer célját, üzleti tulajdonosát, technikai felelősét, adatforrásait, kockázati besorolását, érintetti hatásait, kontrolljait, jóváhagyási állapotát és felülvizsgálati dátumát.
Az AI Act kockázatalapú megközelítése miatt különösen fontos, hogy a szervezet ne kezeljen minden AI-használatot azonos súlyúnak (European Parliament & Council of the European Union, 2024). Egy belső tartalomösszefoglaló eszköz más kockázati kategória, mint egy hitelbírálati, HR-előszűrési vagy ügyfélhozzáférést befolyásoló rendszer. Ezért az arányosság a jó AI-szabályozás egyik kulcsa, mert a túl laza és a túl merev szabályozás egyaránt hibás működéshez vezethet.
A kategorizálást a kommunikációban is használni kell. A munkatársak számára világos, könnyen érthető példákra van szükségük: mit tehetnek szabadon, mit tehetnek csak jóváhagyással, és mit nem tehetnek semmilyen körülmények között. Ha ezt a szervezet nem magyarázza el, a szabályok papíron léteznek, de a napi működésben nem válnak viselkedési normává.
Kommunikáció, fenntartás és ellenőrizhetőség
Az AI-politika és a belső szabályok értéke azon múlik, hogy eljutnak-e azokhoz, akiknek alkalmazniuk kell őket. A szabályzat nem attól működik, hogy felkerül az intranetre, hanem attól, hogy a munkatársak megértik a döntési helyzeteket, a korlátokat és a felelősségüket. Az AI-irányítás ezért kommunikációs és kompetenciafejlesztési feladat is.
A kommunikációt szerepkörönként kell kialakítani. Egy felsővezetőnek azt kell értenie, milyen kockázati döntéseket hagy jóvá. Egy üzleti tulajdonosnak azt, hogyan kapcsolódik az AI-rendszer a folyamathoz és a kontrollokhoz. Egy felhasználónak azt, mikor bízhat a kimenetben, mikor kell ellenőriznie, és mikor kell hibát jeleznie. Ebben a szabály csak akkor él, ha szerepkörre fordítják, különben túl általános marad.
A képzésnek nem pusztán technológiai bemutatónak kell lennie. Az AI-eszköz használatát össze kell kapcsolni az adatkezeléssel, kimenetellenőrzéssel, emberi felügyelettel, tiltott használatokkal, jóváhagyási renddel és incidensjelzéssel. Egy generatív AI-eszköznél például a promptolási tippek önmagukban nem elegendők; azt is tanítani kell, milyen adat nem vihető be, hogyan kell ellenőrizni a választ, és mikor nem használható fel a kimenet.
A fenntartás legalább olyan fontos, mint a kezdeti megfogalmazás. Az AI-környezet gyorsan változik: új eszközök jelennek meg, beszállítók új funkciókat adnak hozzá, a munkatársak új használati módokat találnak, a szabályozási elvárások pedig pontosodhatnak. Ezért az AI-politika nem egyszeri dokumentum, hanem rendszeresen felülvizsgálandó irányítási elem.
A felülvizsgálatnak eseményalapú és időszakos formája is lehet. Időszakosan például évente vagy vezetői felülvizsgálati ciklusban érdemes ellenőrizni, hogy a politika, célok és szabályok megfelelnek-e a tényleges AI-használatnak. Eseményalapon pedig akkor kell frissíteni, ha új magas hatású rendszer jelenik meg, jelentős incidens történik, új adatforrást vonnak be, vagy megváltozik a jogi környezet.
Az ellenőrizhetőség érdekében a szervezetnek bizonyítékokat kell gyűjtenie arról, hogy a szabályok nem csak léteznek, hanem működnek is. Ilyen bizonyíték lehet a jóváhagyott AI-használati esetek nyilvántartása, a kockázatértékelések, képzési részvételi adatok, döntési jegyzőkönyvek, beszállítói értékelések, kontrolltesztek, incidensnaplók és vezetői felülvizsgálati anyagok. Ilyenkor az auditálhatóság a működés bizonyíthatóságát jelenti, nem a dokumentumok mennyiségét.
A belső audit számára az AI-politika és a szabályozás akkor vizsgálható jól, ha világos kapcsolat van a politika, a célok, a kontrollok és a bizonyítékok között. Ha a politika emberi felügyeletet ír elő, akkor az auditnak meg kell találnia, hol van ennek folyamata, felelőse és dokumentált működése. Ha a szabály tiltja ügyféladat bevitelét nem jóváhagyott AI-eszközbe, akkor ellenőrizhetőnek kell lennie, hogyan kommunikálták ezt, hogyan előzik meg, és mi történik megsértése esetén.
A vezetői elkötelezettség itt is kulcsfontosságú. Ha a vezetés csak jóváhagyja a politikát, de nem kér visszajelzést a működéséről, akkor a dokumentum elveszítheti súlyát. Ha viszont a vezetés célokat határoz meg, erőforrást ad, felülvizsgálatot kér és számon kéri az eltérések kezelését, akkor az AI-irányítás beépül a szervezeti működésbe. Ebben a vezetői figyelem a szabályok végrehajtási energiája, amely nélkül a compliance könnyen formálissá válik.
A kommunikáció és fenntartás egyik gyakorlati eszköze a rövid, szerepköralapú útmutató. A teljes AI-politika mellett érdemes lehet külön egyoldalas segédletet adni a munkatársaknak: „mikor használhatsz generatív AI-t”, „milyen adatot tilos bevinni”, „mikor kell jóváhagyást kérni”, „mit kell ellenőrizni a kimeneten”, „hová jelents hibát”. Ez a megoldás azért hasznos, mert a szabályozás nem csak jogi dokumentumként jelenik meg, hanem napi döntéstámogató eszközként.
A szabályok fenntartása során figyelni kell a tényleges használati mintákra is. Ha a munkatársak megkerülik a szabályt, túl bonyolultnak tartják a jóváhagyási folyamatot, vagy nem jelzik a hibákat, akkor nem feltétlenül fegyelmezési problémáról van szó. Lehet, hogy a szabály nem illeszkedik a munkafolyamathoz, a jóváhagyás lassú, vagy az útmutatás nem elég érthető. Ilyenkor a szabály megsértése irányítási visszajelzés is lehet, amelyet a szervezetnek elemeznie kell.
Az AI-politika, célok és belső szabályok akkor töltik be szerepüket, ha a szervezet képes eljutni az elvektől a bizonyítékokig. Az elv megmondja, mit tart fontosnak a szervezet. A cél megmutatja, mit akar elérni. A szabály eligazít a döntési helyzetben. A bizonyíték pedig igazolja, hogy mindez a gyakorlatban is működik.
Az AIMS szempontjából ez a legfontosabb tanulság: az AI-irányítás nem attól lesz érett, hogy a szervezetnek van AI-politikája, hanem attól, hogy a politika mérhető célokká, konkrét belső szabályokká, felelős döntésekké és ellenőrizhető működéssé alakul. A felelős AI-használat nem külön projekt, hanem szervezeti működési rend, amelyben az üzleti érték, a kockázatkezelés és az elszámoltathatóság ugyanahhoz a döntési rendszerhez tartozik.
Felhasznált szakirodalom
European Commission, High-Level Expert Group on Artificial Intelligence. (2019). Ethics guidelines for trustworthy AI. Publications Office of the European Union. https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
European Parliament & Council of the European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016: General Data Protection Regulation. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj
European Parliament & Council of the European Union. (2024). Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
International Organization for Standardization. (2023a). ISO/IEC 42001:2023: Information technology — Artificial intelligence — Management system. ISO. https://www.iso.org/standard/42001
International Organization for Standardization. (2023b). ISO/IEC 23894:2023: Information technology — Artificial intelligence — Guidance on risk management. ISO. https://www.iso.org/standard/77304.html
National Institute of Standards and Technology. (2023). Artificial intelligence risk management framework (AI RMF 1.0). U.S. Department of Commerce. https://doi.org/10.6028/NIST.AI.100-1
OECD. (2019). OECD AI Principles. OECD.AI Policy Observatory. https://oecd.ai/en/ai-principles