11 Passos para Realizar uma Auditoria de IA Generativa no Local de Trabalho
À medida que as organizações transitam de uma experimentação casual para o uso diário de ferramentas de inteligência artificial (IA) generativa, particularmente em recursos humanos, a necessidade de uma auditoria de IA completa se torna cada vez mais evidente. Assim como as empresas avaliam regularmente a equidade salarial, a conformidade com horas trabalhadas e a segurança de dados, as equipes de conformidade devem dedicar atenção semelhante à promoção do uso responsável e em conformidade com a IA em toda a empresa. Uma auditoria de IA bem planejada pode ajudar a identificar riscos legais, operacionais e de reputação antes que eles escalem e pode informar a preparação de políticas relevantes de IA, além do desenvolvimento de treinamentos internos adequados para a IA.
Aspectos Rápidos
- À medida que as organizações integram cada vez mais ferramentas de IA generativa nas operações diárias, especialmente em RH, as auditorias de IA se tornam cada vez mais importantes para mitigar riscos legais, operacionais e de reputação.
- Formar uma equipe de auditoria multifuncional e mapear as ferramentas de IA em uso são passos iniciais fundamentais para conduzir auditorias de IA abrangentes e garantir o uso responsável e em conformidade da IA.
- Auditorias regulares de IA, incluindo avaliações de viés e revisões de contratos de fornecedores, ajudam as organizações a permanecerem em conformidade com regulamentações em evolução e a manter a transparência e a segurança dos dados em suas iniciativas de IA.
As organizações devem considerar auditorias de IA abrangentes pelo menos anualmente, senão trimestralmente, com revisões direcionadas acionadas por novas implementações de ferramentas de IA, mudanças regulatórias ou problemas de conformidade identificados. Em geral, as organizações devem observar alguns passos comuns em relação às auditorias de IA.
1. Identificação de uma Equipe de Auditoria Multifuncional
Começar formando uma equipe de auditoria multifuncional composta por representantes de conformidade, recursos humanos, tecnologia da informação, jurídico e qualquer outro departamento com um interesse significativo no uso de IA permite que vozes diversas participem da auditoria e reduz a possibilidade de lacunas ou diretrizes conflitantes entre diferentes departamentos. Normalmente, o advogado interno, o chefe de conformidade ou um executivo de RH lidera a auditoria, embora o líder mais adequado possa variar de acordo com o tamanho da empresa, a indústria e as iniciativas de IA existentes. Dependendo das circunstâncias, considerações de privilégio podem justificar a contratação de um advogado externo para liderar a auditoria. A empresa pode desejar conduzir a auditoria com o advogado externo sob privilégio.
2. Mapeamento do Uso da IA
Uma vez formada a equipe de auditoria, os empregadores devem mapear as ferramentas e fornecedores de IA em uso em toda a organização. A preparação desse tipo de inventário deve refletir de perto o processo de mapeamento de dados realizado em conexão com o programa de privacidade de dados da organização, e não captura apenas ferramentas de chatbot ou software de tomada de decisão automatizada, mas também inclui plataformas de análise de dados ou software que depende de aprendizado de máquina em contextos de RH. Exemplos de ferramentas de IA potencialmente abrangidas incluem plataformas de triagem automatizada de candidatos e sistemas de correspondência de candidatos a ferramentas projetadas para pesquisas de engajamento de funcionários, avaliações de desempenho e desenvolvimento de talentos. As organizações podem trabalhar com seus líderes de governança de IA para estabelecer um procedimento confiável para atualizar esse inventário sempre que novas ferramentas de IA forem introduzidas, de modo que o mapa de IA permaneça atual e responsivo.
3. Identificação das Leis e Regulamentações Relevantes para a Auditoria
Na ausência de uma única lei nacional abrangente sobre IA nos Estados Unidos, as organizações devem se manter informadas sobre um emaranhado em rápida evolução de regulamentações federais, estaduais, locais e internacionais. Alguns estados dos EUA já implementaram estruturas legais relacionadas à IA, incluindo disposições extraídas da Lei de Inteligência Artificial da União Europeia, que foca em sistemas de IA de alto risco e na mitigação da discriminação algorítmica. Por exemplo, a Lei Local 144 da Cidade de Nova York exige auditorias de viés para ferramentas automatizadas de decisão de emprego, enquanto a Lei da Câmara 3773 de Illinois impõe requisitos específicos de divulgação para o uso de IA na contratação. Outros, como Texas, estão desenvolvendo leis de IA que são exclusivas do estado e se concentram em governar um conjunto limitado de usos de ferramentas de IA, enquanto tomam medidas para incentivar o desenvolvimento responsável de tecnologias de IA. Além disso, outros estados, como Connecticut, estão alterando suas leis de privacidade do consumidor para governar a IA. Enquanto o cenário é complexo e em constante mudança, monitorar esses desenvolvimentos legais variados para que as empresas entendam os marcos regulatórios para avaliar seu uso de ferramentas de IA e para os quais podem querer ajustar seus processos de IA é um passo importante de conformidade.
Antes de mergulhar em análises de conformidade detalhadas, as empresas podem optar por categorizar as ferramentas de IA por nível de risco com base em seu potencial impacto nas decisões de emprego, sensibilidade de dados e exposição regulatória. Ferramentas de alto risco—como as usadas para contratação, avaliação de desempenho ou ações disciplinares—normalmente requerem uma revisão imediata e minuciosa. Ferramentas de risco médio, como plataformas de engajamento de funcionários, podem exigir uma avaliação padrão, enquanto ferramentas de baixo risco, como assistentes de agendamento básicos, podem exigir uma revisão mais leve. No entanto, os níveis de risco não são necessariamente específicos do tópico; o nível de risco cibernético pode depender do tipo de informação processada (ou seja, o nível de sensibilidade) em vez do propósito. Por exemplo, uma ferramenta de agendamento que processa informações pessoais altamente sensíveis ou dados empresariais confidenciais pode exigir uma revisão de maior prioridade do que uma plataforma de engajamento de funcionários que lida apenas com dados agregados e anonimizados. Essa priorização ajuda a alocar recursos de auditoria de maneira eficaz e garante que áreas críticas de conformidade recebam a devida atenção.
4. Avaliação de Viés Potencial
Mesmo quando ferramentas de IA são usadas com as melhores intenções, o viés pode surgir de desequilíbrios nos dados históricos, métodos de treinamento falhos ou outros problemas de design subjacentes. Após completar um inventário de uso de IA, identificar os requisitos
