US Treasury publica Guia de Risco de IA para instituições financeiras
O Tesouro dos EUA publicou vários documentos destinados ao setor de serviços financeiros dos EUA, que sugerem uma abordagem estruturada para gerenciar os riscos da IA nas operações e políticas. O Framework de Gestão de Risco de IA para Serviços Financeiros vem com um Guia que detalha a estrutura, desenvolvida por uma colaboração entre mais de 100 instituições financeiras e organizações do setor, com contribuições de reguladores e órgãos técnicos.
Objetivo do Framework
O objetivo do FS AI RMF é ajudar as instituições financeiras a identificar, avaliar, gerenciar e governar os riscos associados aos sistemas de IA, permitindo que as empresas continuem adotando tecnologias de IA de maneira responsável.
Os sistemas de IA introduzem riscos que as estruturas de governança tecnológica existentes não abordam, como viés algorítmico, falta de transparência nos processos decisórios, vulnerabilidades cibernéticas e dependências complexas entre sistemas e dados. A utilização de Modelos de Linguagem de Grande Escala (LLMs) cria preocupações devido à dificuldade de interpretar ou prever seu comportamento.
Estrutura do Guia
O guia explica como as empresas podem avaliar sua maturidade atual em IA e implementar controles para limitar seus riscos. Seu objetivo é promover práticas de IA consistentes e responsáveis, além de apoiar a inovação no setor.
O FS AI RMF conecta a governança de IA com os processos de governança, risco e conformidade já afetando as instituições financeiras. O framework contém quatro componentes principais:
- Um questionário sobre o estágio de adoção de IA, que permite que as organizações determinem a maturidade de seu uso de IA.
- Uma matriz de risco e controle, que contém um conjunto de declarações de risco e objetivos de controle alinhados aos estágios de adoção.
- Orientações sobre como aplicar o framework.
- Um guia de referência de objetivos de controle que fornece exemplos de controles e evidências de suporte.
O framework define um total de 230 objetivos de controle organizados de acordo com quatro funções adaptadas do Framework de Gestão de Risco de IA do NIST: governar, mapear, medir e gerenciar. Cada função contém categorias e subcategorias que descrevem elementos de gestão e governança eficazes dos riscos de IA.
Estágios de Adoção de IA
O questionário de estágio de adoção determina a extensão em que uma organização está utilizando IA, classificando as instituições em quatro estágios:
- Estágio inicial: organizações com pouca ou nenhuma implantação operacional de IA.
- Estágio mínimo: uso limitado de IA em áreas de baixo risco.
- Estágio em evolução: organizações que executam sistemas de IA mais complexos.
- Estágio integrado: onde a IA desempenha um papel significativo nas operações e na tomada de decisões.
Esses estágios ajudam as instituições a concentrar seus esforços em controles apropriados para seu nível de maturidade. Um controle eficaz deve abordar tópicos de governança e operação, incluindo gerenciamento da qualidade dos dados, monitoramento de justiça e viés, controles de cibersegurança e transparência dos processos decisórios de IA.
Implicações e Conclusão
O guia recomenda a manutenção de procedimentos de resposta a incidentes específicos para sistemas de IA e a criação de um repositório central para rastreamento de incidentes de IA. A estrutura incorpora princípios para uma IA confiável, como validade, segurança, responsabilidade e transparência.
Para os líderes seniores das instituições financeiras, o FS AI RMF oferece um guia para integrar a IA em estruturas de gestão de risco existentes. A adoção da IA deve progredir em conjunto com a governança de riscos, e um framework estruturado como o FS AI RMF fornece uma linguagem comum e um método para gerenciar essa evolução.
