Переосмысление баланса: ИИ, безопасность и инновации

Новый мандат CIO ясен: необходимо ускорить внедрение ИИ в масштабах всего предприятия.

Согласно опросу CIO.com «State of the CIO», главным приоритетом для руководителей ИТ-подразделений, который ставят перед ними генеральные директора, является использование потенциала ИИ. От исследований до оценки продуктов на базе ИИ, CIO теперь играют центральную роль в стратегиях внедрения ИИ в своих организациях.

И руководители компаний ожидают реальных результатов. Почти две трети высшего руководства сообщают о большем давлении с требованием доказать рентабельность инвестиций в ИИ, чем годом ранее, согласно «Kyndryl’s 2025 Readiness Report».

За этим давлением стоят многочисленные источники — от совета директоров до генерального директора, от бизнес-подразделений до конкурентов, — говорит Джонатан Тушман, главный специалист по ИИ и технический директор Hi Marley, платформы для ведения диалогов с клиентами в сфере страхования имущества и ответственности.

Успешное выполнение поставленной задачи требует сложных обсуждений и прохождения юридических, нормативных и других проверок «в разумные сроки», добавляет Тушман, который взял на себя обязанности CAIO более 18 месяцев назад, но ощутил возросшую срочность за последние шесть месяцев. На профессиональных встречах, заседаниях совета директоров и практически везде в деловом мире разговор переходит к ИИ — а затем быстро к страху отстать.

Это касается и сотрудников. «Есть инженерная команда, а есть все остальные — маркетинг, продажи, финансы. Это люди, которые не являются носителями ИИ, но очень хотят использовать эти инструменты на начальном уровне», — говорит он.

Поскольку CIO сталкиваются с давлением в вопросах масштабирования и демонстрации реальной ценности, задача состоит в том, чтобы учитывать риски, не создавая при этом ненужных препятствий.

«CIO не могут избегать риска в этом вопросе», — говорит Картик Чаккарапани, старший вице-президент, CIO и руководитель отдела корпоративного ИИ в Zuora. «Нам необходимо обеспечить безопасность и управление, но мы не хотим, чтобы нас воспринимали как замедляющих процесс. Нужно строить скоростную магистраль с достаточным количеством ограждений и меньшим количеством «лежачих полицейских»».

Более того, добавляет он, «речь идет не об автоматизации существующей работы. Речь идет о переосмыслении того, как выполняется работа».

ИИ — это скачок в управлении рисками

Большинство ИТ-руководителей далеки от того, чтобы чувствовать себя комфортно в новом балансировании управления рисками ИИ. Только 31% респондентов чувствуют полную готовность в отношении внешних бизнес-рисков, согласно опросу Kyndryl.

Тушман считает, что риски, которые несет ИИ, действительно отличаются в двух аспектах. Первый — ИИ является неопределенным, тогда как большинство технологий детерминированы. «Вы не можете доказать, что система ИИ сделает или не сделает X, поэтому традиционная модель «установить контроль и проверить» рушится», — говорит он. «Нам нужен другой способ управления тем, чье поведение принципиально невозможно зафиксировать».

Второй аспект — это гравитационное притяжение конечных пользователей. «При работе с большинством технологий ИТ-отдел мог не торопиться с оценкой перед развертыванием», — говорит он. «С ИИ, если вы быстро не предоставите людям мощные инструменты, они обойдут вас — и теневое использование создает больше рисков, чем контролируемый доступ когда-либо мог бы. Временные рамки сжимаются, в то время как модель контроля усложняется».

Тони Вицца, основатель и управляющий партнер Novera, согласен с тем, что инстинкт действовать быстро может привести к тем самым сбоям, которых все боятся.

«Это может быть персонал, вводящий конфиденциальную информацию в общедоступные инструменты без надлежащей структуры управления, или люди, копирующие и вставляющие текст прямо из ИИ и предоставляющие клиентам неверные результаты», — говорит Вицца.

Организациям следует избегать внедрения ИИ из-за страха упустить выгоду, не определив предварительно, где и как он будет использоваться. Все решения по рискам должны вытекать из этих вопросов, говорит он. «Какие проблемы вы пытаетесь решить — это улучшение обслуживания клиентов или более глубокое понимание ваших данных? Что вы на самом деле пытаетесь сделать?»

Вицца рекомендует направлять решения по ИИ с помощью оценки рисков, которая учитывает ожидаемые результаты, размер инвестиций и их важность для целей организации. «Вы определяете свою толерантность к риску, создаете реестр рисков и определяете, какое управление рисками должно применяться к каждому риску», — говорит он. «Например, если вы собираетесь использовать общедоступную модель ИИ, вы можете управлять этим риском, не вводя конфиденциальные данные, или приобрести соответствующую лицензию, чтобы в случае ввода данных вы были защищены, или получить рекомендации регулятора, прежде чем продолжить».

Организации также должны рассматривать услуги ИИ как риск третьей стороны и не возлагать всю ответственность на поставщиков ИИ, говорит Вицца. «Вы не можете аутсорсить ответственность», — добавляет он.

Необходима должная осмотрительность, чтобы понять, что указано в контракте с поставщиком ИИ, кто несет ответственность в случае утечки данных и как ваша организация может привлечь их к ответственности, если что-то пойдет не так.

«Некоторые организации включают это в свой процесс управления рисками. Другие относятся к этому легкомысленно или даже не знают, что должны задавать эти вопросы — и это то, что заставляет их увязнуть в дальнейшем», — говорит он.

Важность организационного дизайна

В Hi Marley Тушман и его команда приняли структурные решения для поощрения «здоровой внутренней напряженности», призванной выявить и устранить соображения, связанные с рисками ИИ. Это включает разделение между «пользователями ИИ» в продуктовых и технических командах и командами «надзора за ИИ» в отделах комплаенса и юристов. Комплаенс отвечает за аудит, вопросы безопасности и постоянный надзор, в то время как юристы отвечают за документацию, описывающую границы. «Ключевым моментом является то, что это независимо от команд, продвигающих ИИ вперед», — говорит он.

«Компании должны серьезно инвестировать в эти функции комплаенса. Нанимать умных, тонко мыслящих людей. Эти роли не могут быть просто «машинами для отказа», но они также не могут ставить штамп одобрения на всем. Ценность заключается в суждении», — говорит он.

Роль Тушмана — быть хранителем инноваций в области ИИ, возглавляя внедрение ИИ, что включает в себя проверку на предмет рисков, комплаенса и юридических аспектов. «У нас есть команда высшего руководства, и в этой группе у нас есть «конфликт по замыслу», — говорит он. «Я играю роль CAIO, и рядом со мной — наш руководитель юридического отдела и наш руководитель отдела комплаенса. Таким образом, в этой руководящей команде, если у нас возникает «конфликт», мы можем понять компромиссы и принять решение группой».

Тушман считает, что это создает здоровую напряженность: лидеры, ориентированные на инновации, расширяют границы, в то время как лидеры комплаенса и рисков уравновешивают их. Но если решение не может быть достигнуто, оно передается генеральному директору. «Я рекомендую, чтобы [решение, принятое в результате разделения голосов] передавалось другому должностному лицу в организации», — говорит он.

Решения, касающиеся организационной структуры, могут оказаться столь же значимыми, как и сами решения о внедрении ИИ, говорит Тушман. «У компаний, которые правильно выстроят организационный дизайн на раннем этапе, будет реальное преимущество», — объясняет он.

Стремление к ИИ усугубляет уравнение риска

Одной из особенностей волны ИИ является жажда доступа — от совета директоров до сотрудников — к использованию инструментов, созданию приложений и началу их применения. «Прямо сейчас все жаждут попробовать», — говорит Тушман.

Hi Marley находится в фазе «активации» — удовлетворяя аппетит к инструментам с помощью защитных оболочек. «Моя главная цель здесь — чтобы люди изучили инструменты, начали их использовать и приобрели некоторую компетентность в них», — говорит он. «Мы дойдем до фазы измерения, но я думаю, что тратить слишком много времени на измерение прямо сейчас не стоит усилий».

Тушман, как и многие, следит за тем, как быстро совершенствуются модели. «ИИ имеет огромное влияние на то, как вы организуетесь, как нанимаете и какие решения о покупке против разработки принимаете», — говорит он.

Zuora, специализирующаяся на программном обеспечении для бизнеса с подпиской и повторяющимся доходом, находится на третьем году своего пути в области ИИ. Чаккарапани настаивает на том, что скорость ради скорости не является целью.

«Мы не хотим брать существующий процесс и просто ускорять его. Вы просто делаете процесс более хаотичным. Можем ли мы сделать его быстрым, умным и реорганизовать?»

Вицца считает, что хорошему проценту CIO потребуется внешняя помощь, чтобы справиться с давлением быстрого внедрения ИИ. «Или им нужно будет повысить свою квалификацию, потому что ИИ работает совсем не так, как традиционные ИТ», — говорит он.

Его совет состоит из трех пунктов. Во-первых, «принимайте решения на правильной основе — либо изучите, как на самом деле работает ИИ, либо привлеките того, кто сможет вас правильно проконсультировать», — говорит он. Во-вторых, вернитесь к бизнес-цели. «С ИИ есть возможности, но основной вопрос: «Чего мы пытаемся достичь, внедряя это?»». И в-третьих, выясните, как вы собираетесь управлять риском. «Риск — это не обязательно плохо — гоночные автомобили Формулы-1 рискованны, но у них очень хорошие тормозные системы, поэтому они могут ехать быстрее», — говорит он. «С ИИ то же самое: вы внедряете правильное управление рисками, чтобы бизнес мог двигаться быстро, не неся неблагоприятных последствий».

На своем почти трехлетнем пути в области ИИ Zuora начала с экспериментов, прежде чем перевести 12 пилотных проектов в масштабах всего предприятия в рабочее состояние, говорит Чаккарапани, добавляя, что существуют три столпа для оценки потенциальных проектов ИИ: усилия, ценность и уверенность. «Усилия включают в себя риск безопасности», — говорит он. «Низкий, средний или высокий?»

Команда Чаккарапани начинала с простых реализаций, хотя первые эксперименты не оправдали ожиданий — они дали ценные уроки для последующих. «Мы поняли, что ИИ хорош только тогда, когда у вас есть правильные данные — правильный контент, контекст и управление», — говорит он.

Затем они перешли к управлению ИТ-услугами, и именно тогда начались практические знания: они собирали отзывы от внутренних команд и пользователей, отвечали на вопросы о безопасности и управлении и итеративно вносили изменения. Ранние приложения включают маркетинг, продажи, продукт и технологии, обеспечивая 10-кратное и 25-кратное улучшение пропускной способности. Успех измеряется бизнес-результатами, такими как рост, экономия затрат, вовлеченность клиентов.

В ходе этого процесса команда выполняла «закулисную» работу по ускорению внедрения ИИ в компании. «Мы поняли, что для того, чтобы двигаться быстро и масштабироваться, нам необходимо иметь под собой правильное доверие, безопасность и управление», — говорит он.

Платформа в масштабах всего предприятия связывает одобренные Zuora сервисы ИИ, включая ChatGPT и доменно-специфичные инструменты, с ее структурированными и неструктурированными данными. Поверх этого находится контекстный уровень и сервисы, чтобы люди могли создавать собственные приложения. Она использует существующий логин и организационный профиль каждого сотрудника и соблюдает ту же безопасность на основе ролей.

«Мы постепенно разработали структуру, которая стала нашим планом, включающим 10–12 моментов, которые необходимо учитывать при создании приложения на базе ИИ. Когда кто-то проявляет интерес, его направляют в процесс самообслуживания с этими «что можно и чего нельзя делать», который автоматически загружается в виде markdown-файла на компьютер этого человека», — говорит он.

Конечная цель — обеспечить бизнес-ценность до 100 раз с помощью платформы с корпоративным управлением, охватывающей ИТ, HR, финансы, юристов, закупки, продажи и продукт. ИТ играет роль оркестратора, предоставляя платформу для доступа к инструментам и агентам и сотрудничая с бизнес-командой для реорганизации рабочего процесса.

Модель зрелости ИИ

Чаккарапани считает, что чем безопаснее среда, тем больше она открывает путь для экспериментов, внедрения и, со временем, для бизнес-результатов. В Zuora Чаккарапани развивал этот процесс через три уровня организационной зрелости ИИ на сегодняшний день:

Уровень 1: ИТ предоставляет платформу и сервисы. Сотрудники имеют контролируемый доступ к данным в соответствии с их ролью и привилегиями безопасности. Они могут создавать собственного агента для себя. Если что-то не соответствует минимальным требованиям безопасности и комплаенса, оно не может быть принято.

Уровень 2: Агент, созданный сотрудником, проходит проверку ИТ-управления на предмет дублирования или совпадений, улучшений модели, сканирования безопасности и ручных проверок. В случае одобрения он передается более широкому кругу сотрудников предприятия. «Мы добились успехов в этом, но это все еще большая ручная работа, потому что на рынке нет инструментов, которые могли бы это автоматизировать», — говорит он.

Уровень 3: На этом этапе зрелости организация создала безопасный фундамент для своих приложений, чтобы ИИ мог безопасно масштабироваться. В Zuora за шесть-восемь месяцев команда ужесточила безопасность конечных точек и приложений, внедрила управление мобильными устройствами, ввела мониторинг использования ИИ (включая то, что сотрудники загружают в запросы) и отключила аутентификацию Google, чтобы заблокировать доступ личных или массовых учетных записей электронной почты к неутвержденным приложениям.

Ранее в этом году команда приступила к работе над достижением Уровня 4 зрелости, где любой может создать функционирующее приложение с минимальным участием человека. Реалистично они ожидают, что это будет 80–85% без участия человека, поскольку последний этап все равно потребует человеческого вмешательства.

«Моя цель — предоставить услугу, не требующую участия человека, для любого в организации для создания приложений. Если мы это сделаем, они смогут перейти от концепции к идее, прототипу, дизайну и производству — и сделать это менее чем за две недели», — говорит он.