O Tesouro dos EUA publicou vários documentos concebidos para o setor de serviços financeiros dos EUA que sugerem uma abordagem estruturada para gerir os riscos de IA em operações e políticas (ver subtítulo “Recursos e Downloads” na parte inferior do link). A Estrutura de Gestão de Risco de IA de Serviços Financeiros do CRI (FS AI RMF) vem com um Guia (.docx) que fornece detalhes da estrutura, desenvolvida por uma colaboração entre mais de 100 instituições financeiras e organizações do setor, com contribuições de reguladores e órgãos técnicos.
O objetivo do FS AI RMF é ajudar as instituições financeiras a identificar, avaliar, gerir e governar os riscos associados aos sistemas de IA e permitir que as empresas continuem a adotar tecnologias de IA de forma responsável.
Quadro específico do setor
Os sistemas de IA introduzem riscos que os quadros de governação tecnológica existentes não abordam. Os riscos incluem preconceitos algorítmicos, transparência limitada nos processos de decisão, vulnerabilidades cibernéticas e dependências complexas entre sistemas e dados. Os LLMs criam preocupações porque o seu comportamento pode ser difícil de interpretar ou prever. Ao contrário do software tradicional, que é determinístico, o resultado de uma IA varia dependendo do contexto.
As instituições financeiras já operam sob extensa regulamentação e há uma série de orientações gerais, como a Estrutura de Gestão de Risco de IA do NIST. Contudo, a aplicação de quadros gerais às operações das instituições financeiras carece do detalhe que reflecte as práticas do sector e as expectativas regulamentares. O FS AI RMF está sendo posicionado como uma extensão da estrutura do NIST, com controles adicionais específicos do setor e diretrizes práticas de implementação em suas páginas.
O Guia explica como as empresas podem avaliar a sua maturidade atual em IA e implementar controlos para limitar o seu risco. O seu objetivo é promover práticas de IA consistentes e responsáveis e apoiar a inovação no setor.
Estrutura central
O FS AI RMF conecta a governança da IA com processos mais amplos de governança, risco e conformidade que já afetam as instituições financeiras.
A estrutura contém quatro componentes principais. O primeiro é um questionário sobre o estágio de adoção de IA que permite às organizações determinar a maturidade de seu uso de IA. A segunda é uma matriz de risco e controle, que contém um conjunto de declarações de risco e objetivos de controle alinhados com os estágios de adoção. O Guia explica como aplicar a estrutura, enquanto um guia de referência de objetivos de controle separado fornece exemplos de controles e evidências de apoio.
A estrutura define um total de 230 objetivos de controle organizados de acordo com quatro funções adaptadas da estrutura mais ampla de gerenciamento de riscos de IA do NIST: governar, mapear, medir e gerenciar. Cada função contém categorias e subcategorias que descrevem elementos de gestão e governança eficazes de riscos de IA.
Avaliando a maturidade da IA
O questionário do estágio de adoção determina até que ponto uma organização está usando IA. Algumas empresas dependem de modelos preditivos tradicionais em aplicações limitadas, por exemplo, enquanto outras implementam IA em processos empresariais essenciais; outros apenas usam IA em funções voltadas para o cliente.
O questionário ajuda as organizações a determinar onde elas se situam no espectro do uso de IA atualmente, avaliando fatores como o impacto da IA nos negócios, acordos de governança, modelos de implantação, uso de provedores terceirizados de IA, objetivos organizacionais e sensibilidade dos dados.
Com base nesta avaliação, as organizações são classificadas em quatro estágios de adoção de IA:
- estágio inicial: organizações que têm pouca ou nenhuma implantação operacional de IA. A IA pode estar sendo considerada, mas não está incorporada,
- estágio mínimo: uso limitado de IA em áreas de baixo risco ou sistemas isolados.
- estágio de evolução: organizações que executam sistemas de IA mais complexos, incluindo aplicações que envolvem dados confidenciais ou serviços externos.
- estágio incorporado: onde a IA desempenha um papel significativo nas operações de negócios e na tomada de decisões.
Estas fases ajudam as instituições a concentrar os seus esforços em controlos adequados ao seu nível de maturidade. Uma empresa numa fase inicial não precisa de implementar todos os controlos imediatamente, mas à medida que a IA se torna mais integrada, o quadro introduz controlos adicionais para fazer face aos níveis crescentes de risco.
Risco e controle
Os objetivos de controlo para cada fase de adoção da IA abordam temas operacionais e de governação, incluindo gestão da qualidade dos dados, monitorização da imparcialidade e do preconceito, controlos de segurança cibernética, transparência dos processos de decisão da IA e resiliência operacional.
O Guia fornece exemplos de possíveis controles e tipos de evidências que as instituições podem usar para demonstrar que estão em conformidade. Cada empresa deve determinar os controles que melhor se adaptam.
A estrutura recomenda a manutenção de procedimentos de resposta a incidentes específicos para sistemas de IA e a criação de um repositório central para rastrear incidentes de IA, processos que ajudarão as organizações a detectar falhas e melhorar a governação ao longo do tempo.
IA confiável
A estrutura incorpora princípios para uma IA confiável definidos como validade e confiabilidade, segurança, proteção e resiliência, responsabilidade, transparência, explicabilidade, proteção da privacidade e justiça. Estes fornecem uma base para avaliar sistemas de IA ao longo de todo o seu ciclo de vida. Em termos simples, as instituições financeiras têm de garantir que os resultados da IA são fiáveis, que os sistemas estão protegidos contra ameaças cibernéticas e que as decisões podem ser explicadas quando afetam os clientes ou têm relevância regulamentar.
Implicações estratégicas
Para líderes seniores em instituições financeiras de qualquer nação, o FS AI RMF oferece um guia para integrar a IA nas estruturas de gestão de risco existentes. Afirma a necessidade de coordenação em diferentes funções de negócios na organização. As equipas tecnológicas, os responsáveis pelo risco, os especialistas em conformidade e as unidades de negócio precisam de participar no processo de governação da IA.
A adopção da IA sem reforçar as estruturas de governação pode expor as instituições a falhas operacionais, escrutínio regulamentar ou danos à reputação. Por outro lado, as empresas que criam processos de governação claros estarão mais confiantes na implementação de sistemas de IA.
O Guia enquadra o gerenciamento de riscos de IA como uma entidade em evolução. À medida que as tecnologias de IA se desenvolvem e as expectativas regulamentares mudam, as instituições terão de atualizar as suas práticas de governação e avaliações de risco em conformidade.
Para os decisores do setor financeiro, a mensagem é que a adoção da IA deve progredir em sintonia com a governação do risco. Uma estrutura estruturada como o FS AI RMF fornece uma linguagem e um método comuns para gerenciar a evolução.
(Fonte da imagem: “Law Books” de seychelles88 está licenciado sob CC BY-NC-SA 2.0.)
Quer saber mais sobre IA e big data dos líderes do setor? Confira a AI & Big Data Expo que acontece em Amsterdã, Califórnia e Londres. O evento abrangente faz parte da TechEx e é realizado junto com outros eventos de tecnologia líderes. Clique aqui para mais informações.
AI News é desenvolvido pela TechForge Media. Explore outros eventos e webinars de tecnologia empresarial futuros aqui.
Fontesartificialintelligence
