Quais abordagens são usadas para promover maior consistência e interoperabilidade na gestão de riscos da IA
À medida que a governança da IA amadurece, inúmeras estruturas e padrões de gestão de riscos estão surgindo. Para evitar a fragmentação e garantir a implementação eficaz de uma IA confiável, um esforço por maior consistência e interoperabilidade está em andamento. Isso envolve a cooperação entre atores estatais e não estatais, tanto no nível nacional quanto internacional, com foco na gestão de riscos da IA, design (por exemplo, “confiabilidade por design”) e avaliações de impacto.
Abordagens Principais para Interoperabilidade:
- Mapeamento de Estruturas: Comparar e mapear diferentes estruturas de gestão de riscos da IA é um passo fundamental. O objetivo é identificar áreas de equivalência funcional e divergência entre essas estruturas.
- Etapas Comuns de Gestão de Riscos: A maioria das estruturas se alinha com quatro etapas de alto nível: ‘DEFINIR’ (escopo, contexto e critérios), ‘AVALIAR’ (riscos em níveis individual, agregado e social), ‘TRATAR’ (riscos para mitigar impactos adversos) e ‘GOVERNAR’ (processos de gestão de riscos). Estas etapas fornecem uma estrutura comum para a interoperabilidade.
- Abordando Diferenças de Governança: As estruturas frequentemente variam em como lidam com a função ‘GOVERNAR’. Algumas incluem explicitamente atividades de governança, enquanto outras as distribuem ao longo do processo de gestão de riscos ou as omitem completamente. Harmonizar as abordagens de governança é crucial.
- Alinhamento Conceitual e Terminológico: Analisar conceitos-chave e terminologia em diferentes iniciativas é essencial. Identificar áreas de consenso e componentes incompatíveis pode ajudar a esclarecer debates em torno de conceitos como transparência, explicabilidade e interpretabilidade.
- Estruturas de Due Diligence: Aproveitar as estruturas de due diligence existentes, como o Guia de Due Diligence da OCDE para Conduta Empresarial Responsável (OECD DDG), para desenvolver boas práticas para IA responsável é um caminho promissor.
- Alinhamento de Esquemas de Certificação: Pesquisar e analisar o alinhamento de esquemas de certificação de IA com a Conduta Empresarial Responsável (RBC) da OCDE e os padrões de IA pode melhorar a qualidade, comparabilidade e interoperabilidade desses esquemas.
- Ferramentas Interativas: Desenvolver ferramentas online que permitam que organizações e partes interessadas comparem estruturas e naveguem pelos métodos, ferramentas e boas práticas existentes para a gestão de riscos da IA pode facilitar a interoperabilidade.
Embora as abordagens gerais estejam alinhadas, existem diferenças de alto nível, principalmente em torno da função ‘GOVERNAR’. Os escopos das estruturas individuais também causam inconsistências. Por exemplo, o OECD DDG considera os riscos associados às relações comerciais de forma mais ampla, enquanto ISO 31000, NIST AI RMF, HUDERIA, EU AIA, AIDA e IEEE 7000-21 se concentram em abordagens mais centradas no produto ou orientadas para o valor na gestão de riscos da IA. Abordar essas diferenças será fundamental para promover uma gestão de riscos de IA consistente e interoperável.
Quais são as principais diferenças observadas entre as diversas estruturas de gestão de riscos de IA?
As estruturas de gestão de riscos de IA estão a convergir num conjunto central de princípios, maspersistem diferenças significativas na sua abordagem. Estas discrepâncias giram principalmente em torno da função “GERIR”, que engloba elementos como monitorização, comunicação, documentação, consulta e incorporação de práticas de gestão de riscos.
Embora a maioria das estruturas procure “DEFINIR”, “AVALIAR” e “TRATAR” os riscos de IA, os métodos para gerir estes processos divergem substancialmente.
Abordagens de Governança: Níveis Variados de Ênfase
Algumas estruturas incorporam explicitamente estas atividades de governança sob uma função “GERIR” distinta, enquanto outras as distribuem por todo o ciclo de vida da gestão de riscos ou omitem-nas completamente.
Por exemplo:
- A Lei da IA da UE (EU AIA) e a Lei da IA e dos Dados do Canadá (AIDA) exigem que os fornecedores de sistemas de IA de alto risco identifiquem, analisem e mitiguem os riscos. No entanto, a consulta e a incorporação da gestão de riscos na cultura organizacional estão ausentes.
- O projeto Avaliação de Risco e Impacto dos Direitos Humanos, Democracia e Estado de Direito (HUDERIA) do Conselho da Europa está parcialmente alinhado, mas os elementos relacionados com GERIR não estão presentes.
- A norma ISO/IEC Guide 51 tem como objetivo informar o desenvolvimento de normas de segurança de produtos e não inclui a incorporação de políticas de gestão de riscos e a consulta de partes interessadas.
Âmbito e Foco: Uma Questão de Perspectiva
As estruturas também diferem em termos de âmbito, público-alvo e panorama de riscos, levando a abordagens diferentes à governança.
- OECD DDG: O âmbito mais amplo inclui riscos associados a relações comerciais. Recomenda a mitigação de riscos na venda e distribuição de bens.
- ISO 31000: O âmbito mais restrito considera os riscos e impactos para a organização.
- NIST AI RMF: Concentra-se nos danos às pessoas, organizações e ecossistemas.
- HUDERIA: Aborda os riscos para os direitos humanos, a democracia e o Estado de direito.
- EU AIA & AIDA: Adota uma abordagem de segurança do produto
- IEEE 7000-21: Integra considerações baseadas em valores e perspetivas das partes interessadas no design de produtos ou serviços.
- Público-alvo: A OECD DDG e as normas ISO destinam-se a mudanças organizacionais ao nível do conselho de administração. As outras oferecem recomendações ao nível do conselho de administração, mas a implementação é principalmente ao nível técnico.
A EU AIA e a AIDA também incorporam uma característica regulamentar única, em que os reguladores definem o que constitui um sistema de “alto risco”, priorizando efetivamente os esforços de gestão de riscos para as empresas.
Quais são as ações futuras planejadas para aprimorar as práticas de gerenciamento de riscos de IA?
Várias iniciativas estratégicas estão em andamento para reforçar o gerenciamento de riscos de IA, com foco na promoção da interoperabilidade e implementação prática. Aqui está um resumo das principais áreas:
Harmonizando a Terminologia e os Conceitos de IA
O próximo passo imediato envolve uma análise aprofundada das semelhanças e diferenças na linguagem e nos conceitos usados em várias estruturas de avaliação de impacto de IA e gerenciamento de riscos. Isso incluirá:
- Identificar definições e conceitos que tenham um amplo consenso.
- Identificar áreas potencialmente incompatíveis ou obscuras que poderiam impedir a implementação prática. Por exemplo, debates sobre os significados de transparência, explicabilidade e interpretabilidade.
- Desenvolver um entendimento comum da cadeia de valor da IA, incluindo os diferentes atores envolvidos e os vários riscos presentes em cada etapa.
Desenvolvendo Boas Práticas para Conduta Empresarial Responsável em IA
Uma abordagem promissora para implementar o gerenciamento de riscos de IA é aproveitar as estruturas existentes para conduta empresarial responsável. Isso envolveria alinhar a terminologia e as estruturas específicas da IA com os princípios das Diretrizes da OCDE para Empresas Multinacionais (EMN) e a Orientação de Due Diligence (DDG). Os resultados poderiam incluir workshops e diretrizes acionáveis, esclarecendo como os princípios da Orientação de Due Diligence para Conduta Empresarial Responsável poderiam ser aplicados especificamente à IA.
Alinhando Esquemas de Certificação com PDR e Padrões de IA
Para melhorar a qualidade, a comparabilidade e a interoperabilidade dos padrões e iniciativas de certificação, a OCDE está desenvolvendo um processo de avaliação de alinhamento para avaliar o alinhamento das iniciativas com as recomendações da DDG da OCDE. Essa medida prepara o terreno para fornecer recomendações concretas para traduzir e alinhar as práticas de IA com as práticas de Conduta Empresarial Responsável (CER) e vice-versa:
Desenvolvendo uma Ferramenta Online Interativa
Uma ferramenta online interativa seria criada para auxiliar organizações e partes interessadas na realização de comparações entre estruturas. Esta ferramenta incluirá tanto estruturas de comparação derivadas das etapas mencionadas anteriormente, como ajudará os usuários a navegar pelos métodos, ferramentas e boas práticas existentes para identificar, avaliar, tratar e governar os riscos de IA. Isso estaria vinculado ao Catálogo de Ferramentas e Métricas para IA Confiável.
Quando se trata de governar o risco de IA, uma conclusão chave de um relatório recente da OCDE é que, embora várias estruturas de gestão de risco de IA geralmente se alinhem em etapas de alto nível – DEFINIR, AVALIAR, TRATAR e GOVERNAR – diferenças significativas surgem em como abordam a função “GOVERNAR”. Isso impacta a interoperabilidade dessas estruturas.
Principais Diferenças na Governança
Aqui está uma análise das principais áreas onde as abordagens de governança divergem:
- Governança Explícita vs. Distribuída: Algumas estruturas incluem explicitamente atividades de governança sob uma função “GOVERNAR” designada, enquanto outras as distribuem ou omitem ao longo do processo de gestão de risco.
- Engajamento das Partes Interessadas: Certas regulamentações, como a proposta Lei de IA da UE (EU AIA) e a Lei de IA e Dados do Canadá (AIDA), podem carecer de requisitos de consulta com partes interessadas internas e externas – um aspecto fundamental da função “GOVERNAR” de acordo com a orientação da OCDE sobre interoperabilidade.
- Incorporação da Gestão de Riscos: Da mesma forma, incorporar a gestão de riscos na cultura organizacional – outro elemento “GOVERNAR” – nem sempre é abordado explicitamente na legislação proposta.
Considerações Regulatórias
Várias nuances regulatórias significativas impactam a função “GOVERNAR”:
- EU AI Act e AIDA: Embora exijam a identificação, análise e mitigação de riscos para sistemas de IA de alto risco, essas leis propostas parecem carecer de algumas medidas de gestão de risco “GOVERNAR” da Estrutura de Interoperabilidade, como a consulta às partes interessadas. No entanto, o Artigo 17 da Lei de IA da UE exige um “sistema de gestão da qualidade” para garantir a conformidade, incorporando potencialmente a gestão de riscos e a responsabilização.
- HUDERIA: O projeto de Avaliação de Risco e Impacto dos Direitos Humanos, Democracia e Estado de Direito (HUDERIA) do Conselho da Europa está parcialmente alinhado, mas parece carecer de elementos da Estrutura de Interoperabilidade relacionados ao GOVERNAR, como a comunicação pública sobre a conformidade com os padrões e o envolvimento da liderança na incorporação da gestão de riscos em toda a organização.
- NIST AI RMF: Embora o documento inclua os subelementos de GOVERNAR dentro de suas etapas, estes são integrados ao longo das diferentes estruturas.
Implicações Práticas
Para os profissionais de governança e conformidade de IA, essas discrepâncias na função “GOVERNAR” têm implicações significativas:
- Complexidade e Custo: A falta de interoperabilidade entre as estruturas pode complicar e aumentar os custos associados à implementação de IA confiável.
- Eficácia e Exequibilidade: Estruturas não interoperáveis podem reduzir a eficácia e a exequibilidade dos esforços de gestão de risco de IA.
- A personalização é fundamental: O contexto padrão ISO 31000 recomenda personalizá-lo para qualquer organização e seus contextos específicos.
Chamada para Ação
Para garantir uma governança de IA eficaz, os profissionais de tecnologia jurídica, os responsáveis pela conformidade e os analistas de políticas devem defender:
- Cooperação e Coordenação: Incentivar a colaboração entre os desenvolvedores de padrões e estruturas, tanto nacional quanto internacionalmente.
- Métricas Claras: Priorizar métricas e definições claras para garantir a implementação consistente da gestão de riscos em diferentes casos de uso.
- Alinhamento com Práticas Comerciais Mais Amplas: Vincular a governança de IA a estruturas de conduta empresarial responsável, como o Guia de Due Diligence da OCDE.
Avançando, o foco deve estar na harmonização das abordagens de governança de IA e na garantia da interoperabilidade para uma gestão de risco de IA prática e executável.
