O Papel da Padronização na Gestão dos Riscos de IA
À medida que a IA transforma Singapura e o resto do mundo, as organizações precisam enfrentar uma série de desafios de gestão de riscos que essa tecnologia inovadora traz. Não são apenas as empresas que estão focando nesse assunto; reguladores e governos também estão elaborando estruturas de governança de IA para abordar riscos ou preocupações específicas em suas jurisdições ou setores.
Por exemplo, o Observatório de Políticas de IA da OCDE monitora mais de 1.000 iniciativas de políticas de IA em 69 países, territórios e na UE. Além disso, diferentes abordagens têm sido observadas em relação à extensão da regulamentação no governo dos riscos potenciais da IA.
Independentemente das medidas regulatórias, os riscos da IA são inevitáveis. Assim, uma abordagem padronizada que incorpore um consenso global pode ser útil para fornecer orientações às organizações que buscam equilibrar inovação e agilidade com uma boa gestão de riscos.
A Matriz de Risco de IA: Por que não é tudo novo
A IA e o software tradicional compartilham muitas práticas de gestão de riscos, como ciclos de desenvolvimento e hospedagem de pilhas de tecnologia. No entanto, a imprevisibilidade da IA e sua dependência de dados introduzem riscos únicos, além da gestão dos riscos tecnológicos existentes.
Primeiramente, com o aumento da IA generativa, muito mais pessoas estão adotando e usando a tecnologia, aumentando a superfície de ataque e as exposições ao risco. Em segundo lugar, à medida que os modelos de IA generativa incorporam mais dados empresariais, os riscos de divulgação acidental de informações estão aumentando, especialmente onde os controles de acesso não foram corretamente implementados. Terceiro, a IA apresenta riscos em áreas como privacidade, justiça, explicabilidade e transparência.
Encontrando Equilíbrio em um Tempo de Mudança Constante
Quando se trata de desafios, talvez o maior seja o fato de que a IA está evoluindo tão rapidamente que a gestão de riscos precisará ser vista como um alvo em movimento. Isso coloca as organizações em um dilema: falhar em adotar a IA rapidamente o suficiente pode resultar em ficar para trás em relação aos concorrentes; avançar rápido demais pode levar a armadilhas éticas, legais e operacionais.
O equilíbrio a ser alcançado, então, é complicado — e isso se aplica não apenas a grandes empresas, mas também a empresas de todos os tamanhos em cada setor, onde a implementação da IA nas operações comerciais centrais está se tornando rotineira. Como, então, as organizações podem gerenciar melhor os riscos sem desacelerar a inovação ou serem excessivamente prescritivas?
É aqui que esforços de padronização como a ISO/IEC 42001:2023 oferecem orientações para que as organizações estabeleçam, implementem, mantenham e melhorem continuamente um Sistema de Gestão de Inteligência Artificial (SGIA). Desenvolvida pelo subcomitê para padrões de IA da ISO/IEC JTC 1/SC 42, que conta com 45 países membros participantes, representa um consenso global e fornece uma abordagem estruturada para gerenciar os riscos associados à implementação da IA.
Em vez de estar intimamente ligada a uma implementação tecnológica específica, essa orientação enfatiza a definição de um forte “tom de cima” e a implementação de um processo contínuo de avaliação e melhoria de riscos — alinhando-se ao modelo Plan-Do-Check-Act para fomentar uma gestão de riscos iterativa e de longo prazo, em vez de uma conformidade pontual. Ela fornece o arcabouço para que as organizações construam os componentes necessários de gestão de riscos, considerando a escala e a complexidade de suas implementações.
Sendo um padrão certificável, a ISO/IEC 42001:2023 também é verificável. As organizações podem se tornar formalmente certificadas ou simplesmente aderir a ela como uma melhor prática. De qualquer forma, a certificação ou o alinhamento ajuda as organizações a demonstrar aos stakeholders seus esforços contínuos para gerenciar os riscos associados à adoção ou desenvolvimento de soluções de IA.
Padronização: A Panaceia para a Dor da IA
Seguir um padrão como a ISO 42001 é útil de outras maneiras. Sua abordagem ajuda a lidar com a fragmentação da adoção de IA dentro das empresas, onde anteriormente estava isolada dentro de equipes de ciência de dados. A ampla adoção de soluções de IA generativa resultou em uma expansão da implementação que coloca pressão sobre as empresas para gerenciar seus riscos de IA em uma escala muito maior.
Com isso, surgem três pontos críticos significativos: a falta de responsabilidade clara pela dependência das decisões da IA; a necessidade de equilibrar velocidade e cautela; e, para as empresas com operações em várias jurisdições, os desafios de navegar por orientações fragmentadas de diferentes reguladores.
Novamente, adotar uma abordagem padronizada funciona melhor. O quadro unificado e reconhecido internacionalmente para governança da IA da ISO 42001, por exemplo, aborda esses pontos. Ele estabelece estruturas de responsabilidade claras e — em vez de ditar o uso de tecnologias específicas ou etapas de conformidade — oferece princípios orientadores que as organizações podem seguir ao estabelecer um programa de gestão de riscos de IA. Essa abordagem baseada em princípios também evita duas preocupações principais sobre a gestão de riscos de IA: que isso inibirá a inovação e que padrões excessivamente prescritivos rapidamente se tornarão irrelevantes.
Em um mundo onde a IA está se tornando cada vez mais entrelaçada no tecido dos negócios, as organizações devem garantir que estão preparadas para seus riscos. Padronizar sua abordagem garante que possam se posicionar para navegar mais facilmente pelas futuras regulamentações de IA, mitigar riscos de conformidade e inovar de forma responsável. Dessa forma, a IA pode continuar a ser uma força para o bem — para as organizações e para a sociedade em geral.
