Внедрение искусственного интеллекта во всех сферах бизнеса, включая операционные и производственные процессы, с одной стороны восхищает своими возможностями, а с другой – пугает непредсказуемостью. В профессиональных кругах всё больше и больше усилий тратится на снижение уровня неопределённости. Ассоциация «Институт внутренних аудиторов» провела опрос по ключевым рискам использования ИИ в работе и основным мерам по их минимизации.
0
2
10/04/2025
В последнее время развитие технологий искусственного интеллекта идет быстрыми темпами, особенно с 2022 года, когда с запуском ChatGPT генеративный искусственный интеллект стал сенсацией для широкой общественности. Вау-эффект и последовавшая популярность способствовали тому, чтобы сделать безопасное внедрение генеративных моделей важным вопросом для компаний в целом и внутренних аудиторов в частности.
Практика показывает, что переход на цифровые технологии часто происходит неравномерно, и не всегда в соответствии со стратегией развития компании. Поскольку многие инструменты ИИ находятся в свободном доступе и сравнительно дешевы, подразделения и сотрудники компаний могут использовать его самостоятельно и бесконтрольно. Как следствие, может быть сложно определить (и контролировать), где и как ИИ используется в бизнесе, что влечёт за собой большое количество рисков.
Ассоциация «Институт внутренних аудиторов» провела опрос 211 внутренних аудиторов из российских компаний разных секторов экономики, чтобы выяснить, какие риски сопровождают использование ИИ на рабочем месте и как их можно минимизировать.
Об Ассоциации
Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
В топ-5 наиболее значимых, по мнению внутренних аудиторов, рисков использования общедоступного ИИ (например: ChatGPT, Claude, DeepSeek, GigaChat, YaGPT и прочее) для рабочих целей вошли:
-
Риск утечки конфиденциальных данных/Нарушение конфиденциальности данных – 73%;
-
Ошибки и недостоверная информация/Создание дезинформации/Галлюцинирование (модели могут генерировать неполные или ложные ответы, а также выдавать правдоподобную, но фактически ложную информацию) – 70%;
-
Непонимание принципов работы ИИ сотрудниками (как результат: некорректное использование возможностей ИИ или неспособность выявить ошибки) – 43%;
-
Избыточная зависимость от технологий (сотрудники перестанут критически оценивать данные и решения, выработают привычку полагаться на ИИ, а также утратят креативное мышление) – 40%;
-
Непреднамеренное нарушение законодательства (ответы ИИ могут не соответствовать актуальным законодательным нормам) – 39%.
Подробнее о типовых рисках в работе с ИИ читайте в нашей статье «Типовые риски систем ИИ».
Александр Тарасенко, независимый эксперт Ассоциации «Институт внутренних аудиторов», директор по аудиту технологий, не удивлен, что риск утечки конфиденциальных данных находится на первом месте: «Компании-поставщики услуг генеративного ИИ могли бы уделять больше внимания публичному повышению уровня доверия к ним. Крайне мало случаев, когда поставщики предоставляют отчёты SOC (System and Organization Controls), которые в РФ можно выпустить в соответствии со стандартом ISAE 3000 ( МСЗОУ 3000 ). Такого рода отчеты дают гораздо больше информации о системе внутреннего контроля и предоставляют разумную (или ограниченную) уверенность в её эффективности. В зависимости от типа отчёта, это может быть как на момент времени, так и на определённый временной интервал (например, год).
Даже если говорить про сертификацию ISO (которая только подтверждает, что система менеджмента соответствует требованиям стандарта), то не так много кто предоставляет сертификаты серий ISO 27000 (система менеджмента информационной безопасности), еще меньше предоставляют сертификат ISO 42001:2023 (система менеджмента ИИ, в том числе ответственная разработка и использование ИИ). Таким образом, при использовании внешних инструментов я бы рекомендовал внимательно изучать политики приватности, сертификаты и отчёты о безопасности».
О стандартах разработки и использовании ИИ читайте в интервью руководителя Росстандарта Антона Шалаева «Стандарты для цифрового будущего».
В топ-5 мер по снижению рисков, сопровождающих использование открытых ИИ-инструментов в рабочих целях, по мнению внутренних аудиторов, вошли:
-
Обучение сотрудников (о рисках использования публичных языковых моделей, о возможностях моделей, о правилах работы и т.д.) – 60%;
-
Создание внутренних политик использования ИИ – 57%;
-
Ограничение предоставления конфиденциальной информации (ограничение отправки в публичные языковые модели конфиденциальных и/или чувствительных данных) – 55%;
-
Верификация источников (проверка информации, предоставляемой моделью, с внешними надежными источниками данных) 53%;
-
Разделение задач (использование публичных языковых моделей только для общих запросов, а для работы с чувствительными данными – только внутренние решения) – 45%.
По мнению Владимира Шатшнайдера, директора департамента ИТ-аудита и анализа данных, блок внутреннего аудита ПАО «Ростелеком», наиболее эффективная (особенно для телеком-компаний) мера по снижению рисков – это развертывание ИИ-моделей только во внутреннем изолированном контуре (за него проголосовали 38% респондентов).
При этом ограничение предоставления конфиденциальной информации стало самым распространенным способом, фактически используемым компаниями для снижения рисков, сопровождающих использование открытых ИИ-инструментов в рабочих целях (46%), тогда как создание внутренних политик использования ИИ и обучение сотрудников стоят на 2-м и 3-м месте (всего лишь с 23% и 22% соответственно).
В целом, по мнению 33% опрошенных внутренних аудиторов, управлению рисками, связанными с использованием ИИ в рабочих целях, компаниями уделяется недостаточное внимание (риски не управляются в качестве регулярного осознанного процесса). Только 9% уверены, что такие риски управляются в достаточной мере и регулярно используются основные лучшие практики.
Илья Котлов, руководитель департамента внутреннего аудита ООО «УК Глобал Портс», предупреждает: «Внедрение ИИ должно сопровождаться очень тщательным тестированием и оценкой рисков. Задача менеджмента компании состоит в налаживании этих процессов, а внутренний аудит, безусловно, должен обладать той квалификацией, которая поможет провести оценку эффективности данных процессов наилучшим образом».
Александр Тарасенко, независимый эксперт Ассоциации «Институт внутренних аудиторов», директор по аудиту технологий: «Можно (и нужно) выстраивать разумные технические контроли, можно закрывать всё во внутреннем контуре, но тут действуют те же законы, что и в информационной безопасности. Самое слабое звено при использовании ИИ – это человек. Поэтому крайне важно инвестировать достаточное количество времени в обучение, в повышение уровня осознанности и вовлечённости, а также понимание принципов работы. Без этого волну не оседлать и она имеет все шансы вас смыть. Получается такой очевидно-банальный вывод: кто еще не начал использовать ИИ – начинайте использовать осознанно. Кто уже начал – берите под контроль».
С результатом опроса можно ознакомиться на сайте Ассоциации «Институт внутренних аудиторов».
О критериях оценки и измерение эффективности искусственного интеллекта читайте в статье «Измерение интеллекта машин».
Нравится: 2
Была ли статья полезна? Да Нет
распечатать статью
