אחריות תאגידית בהטמעת AI

כותבים: ליהיא יוקלה, שותפה, מנהלת מחלקת ESG ; יוליה רבוי, מנהלת מחלקת, IT Risk Compliance ; עו"ד ינון ברזאני בארי, מנהל סיכוני ESG

 

בקצרה

כולם כבר מבינים שפיתוח ושימוש ב-AI זה יותר מ"שיפור טכנולוגי", אלא שינוי חברתי וכלכלי עמוק, שמשתווה בהיקפו למהפכה התעשייתית. כמו בכל חזית עסקית אחרת, התנהלות אחראית היא הדרך שלנו לוודא שאנחנו מגדילים ערך כלכלי, תוך שאנחנו מפחיתים ומנהלים סיכונים שונים לארגון – בין אם הם נובעים מהיבטים טכנולוגיים, כלכליים, חברתיים או סביבתיים.  הטמעה או בנייה של מערכות AI מהימנות ואחראיות, יכולה להעניק לחברות יתרון תחרותי, להפוך אותן לאטרקטיביות יותר עבור משקיעים, לחזק קשרים עם הלקוחות, ולמנוע עלויות משמעותיות של תיקון, פיצוי או השקעה לעמידה ברגולציה. כולם כבר מבינים שפיתוח ושימוש ב-AI זה יותר מ"שיפור טכנולוגי", אלא שינוי חברתי וכלכלי עמוק, שמשתווה בהיקפו למהפכה התעשייתית. כמו בכל חזית עסקית אחרת, התנהלות אחראית היא הדרך שלנו לוודא שאנחנו מגדילים ערך כלכלי, תוך שאנחנו מפחיתים ומנהלים סיכונים שונים לארגון – בין אם הם נובעים מהיבטים טכנולוגיים, כלכליים, חברתיים או סביבתיים.  הטמעה או בנייה של מערכות AI מהימנות ואחראיות, יכולה להעניק לחברות יתרון תחרותי, להפוך אותן לאטרקטיביות יותר עבור משקיעים, לחזק קשרים עם הלקוחות, ולמנוע עלויות משמעותיות של תיקון, פיצוי או השקעה לעמידה ברגולציה. 


 

הנה כל מה שאתם צריכים כדי להפוך למנהלים אקטיביים של הסיכון וההזדמנות הטכנולוגית


1. להעמיק את הידע שלכם בנושא

  • קראו את המדריך של BDO להיבטי ה-ESG בהטמעת מערכות AI. 
  • חפשו דוחות ESG של חברות מתחרות שלכם, ותראו מה הן מדווחות על הטמעה אחראית של AI. 
  • דברו עם מומחי האתיקה והאחריות התאגידית שלנו. 


2. הכנה מקדימה – איפה החברה שלכם נכנסת לתמונה

  • לפני הכל, אתם צריכים להבין מה זהות החברה שלכם בשרשרת הערך של ה-AI. האם החברה היא על תקן ספק נתונים (קבוצה 1), מפתחת/מטמיעה מערכות AI (קבוצה 2) או "משתמש קצה" של מערכות AI (קבוצה 3). 
  • מיפוי בעלי עניין – בדומה לתהליכים דומים בתחום ה-ESG; הפעם תבצעו מיפוי בעלי עניין שעולים להיות מושפעים מהטמעת AI – עובדים, לקוחות, קהילות. 
  • צרו קשר עם ה-CTO שלכם, ותמצאו את הממשקים שקשורים בהתנהלות עסקית אחראית בנושא ההטמעה (תקראו את המשך המדריך שלנו לפני). המטרה היא למצוא שותף לדרך להכניס את שיקולי האחריות התאגידית כשיקולים נוספים במכלול השיקולים שהחברה לוקחת בהטמעה או בשימוש ב-AI.  


3. מיפוי וזיהוי סיכונים

  • תתחילו ביצירת Inventory של מערכות AI – כל מערכת שהחברה שלכם מפתחת, רוכשת או משתמשת בהן, ובאיזה מחלקות של הארגון זה קורה. 
  • מתוך המיפוי, סמנו לכם את המקומות שהם בסיכון גבוה – מה שקשור בתשתיות קריטיות, בהתנהלות מול עובדים ולקוחות, בקבלת החלטות משפטיות (ועוד דוגמאות שמופיעות במסמך).
  • תבינו מה המעורבות של החברה שלכם בנזק הפוטנציאלי – האם היא גורמת לו, תורמת לו, או קשורה אליו דרך שותף עסקי. 
  • כאן ממליץ ה-OECD לבצע הערכת סיכונים שתבחן נושאי פרטיות, זכויות עובדים, אפליה בנתונים, צריכת משאבים סביבתיים. זה יכול להיבחן כחלק מהערכת סיכוני ה-ESG הכללית שלכם (שמומלץ לבצע בלי קשר 😊) או באופן פרטני ל-AI.
  • תבנו שאלון שיופץ למנהלי מחלקות שמשתמשים או מקדמים שימוש ב-AI, כדי לאתר שימושים בסיכון גבוה.  
  • תתעדפו לכם את הסיכונים המהותיים, לפי חומרת הנזק הצפוי והסתברות ההתרחשות. 
  • נ.ב – בדיוק כמו בנושאי ESG אחרים, גם שרשרת האספקה שלכם צריכה להיבחן במסגרת הערכת הסיכון. תפיצו את השאלון, או תבנו שאלון יעודי בהתאם לאיזו קבוצה שאתם, שישלח לספקים שלכם. 


4. ממשל תאגידי ומנהל תקין

  • אם לחברה יש מדיניות ESG/אחריות תאגידית, הטמיעו את עקרונות ה-OECD ל-AI כחלק מאותה מדיניות. אם לא, קדמו מדיניות Responsible AI בכל שלבי הפיתוח והשימוש במערכות, בהתאם לעקרונות ה-OECD – AI הוגן, שקוף, ניתן להסבר, מאובטח, בטוח ואחראי וכו'. 
  • זה הזמן גם לעדכן את הקוד האתי שלכם, באופן שיחייב את כלל העובדים וגם את הספקים שחותמים על הקוד האתי שלכם. 
  • יש להקצות אחריות על ה-DD ל-AI בהנהלה הבכירה, ולערב את הדירקטוריון בפיקוח על הטמעת ה-AI, בעיקר בהיבטי ה-ESG שלו.
  • להקים/להצטרף לוועדה, קבוצת היגוי או קבוצות עבודה קיימות בחברה להטמעת AI, ולשקול להקים קבוצת עבודה מיוחדת שתעסוק בהליכי ה-DD.
  • אם יש לכם צוות – תדאגו למנות גורם שיהיה אחראי על Ethical\responsible AI. 


5. מניעה וצמצום של נזקים
מה בתכל'ס צריך להיכנס להליכים טכנולוגיים כדי שתוכלו להגיד שהארגון שלכם מטמיע AI באופן אחראי?

  • תוודאו שכל החלטה של AI שהיא משמעותית כוללת הסבר על הלוגיקה והפרמטרים שהובילו אליה. 
  • תוודאו מול הגורם הטכנולוגי שיש תוכנית תגובה מתי ואיך עוצרים מערכת AI שמתחילה לסטות מהתנהגותה הצפויה (זה כמובן רלוונטי אם הארגון מעצב בעצמו מערכת – קבוצה 2).
  • קבלו החלטה מתי גורם אנושי יכול לבטל או לתקן החלטות אוטומטיות.
  • ה-OECD ממליץ גם לעשות שימוש בכוח השוק שלכם כדי לגרום לספקים להתנהל בצורה אחראית, ולשנות פרקטיקות פוגעניות. 
  • אם אתם בקבוצה 3 (משתמשי קצה) – בקשו מהספקים "כרטיס ביקור" של המודל – מגבלות והטיות מוכרות. 
  • אם למערכת שלכם יש אאוטפוט שפוגש לקוח – תצמידו תווית AI לכל תוכן שנוצר על ידי המערכת. 


6. ניטור ומעקב
בשלב הזה, המתקדם יותר, אנחנו רוצים לוודא שהסיכונים שהערכנו מטופלים על ידי הצעדים שנקטנו כדי למנוע אותם. 

  • קודם כל לפי ה-OECD, יש לעקוב אחר היישום ואחר היעילות של התהליכים שקבענו בשלב 4. זה אומר לבחון האם לא הערכנו, או לא הערכנו נכונה, סיכונים שונים. 
  • צריך לוודא שנשמר תיעוד של אירועים חריגים(Incidents) , ולפי ה-OECD יש גם לשתף מידע על התקריות הללו עם בעלי עניין רלוונטיים: גורמים ממשלתיים, עובדי החברה וכו', כדי לקדם בטיחות ואמון.
  • חשוב גם לוודא שיש תיעוד של מדדי ביצוע ותוצאות של תהליכי אימות ותיקוף  בתנאים הדומים לסביבה האמיתית שבה המערכת פועלת. 
  • אחת לכמה זמן (רבעון, חצי-שנתי) תובילו ישיבת "רטרוספקטיבה אתית" – האם ל-AI הטיות חדשות שלא נחזו בפיתוח/בהטמעה.


7. תקשורת ודיווח
כמו שאנחנו מכירים מעולמות ה-ESG, שקיפות = אמון הציבור והמשקיעים. 

  • תפרסמו את התהליכים, המחויבויות, המדיניות והתוצאות של ההתנהלות האחראית בהקשרי AI של החברה. דוח האחריות התאגידית שלכם הוא המקום הטבעי ביותר לזה – תוסיפו פרק או שלבו התייחסויות בפרקים הרלוונטיים (דברו איתנו איך להתאים לתקני הדיווח). 
  • תדווחו שם גם סיכונים מהותיים – השפעות שליליות אפשריות, וצעדים שהחברה נוקטת כדי למנוע אותן. אם הסיכונים האלו מהותיים פיננסית, יש לשקול לשלב אותם בגילויים בדוח הכספי השנתי. 
  • הרבה ארגונים הוסיפו עמוד או הקדישו חלק מהאתר שלהם ל-AI ואתיקה. תפרסמו שם את הסיכונים ואת המגבלות של ה-AI, בשפה פשוטה, ברורה ומובנת. 
  • תוודאו שהחברה מאפשרת פידבק של משתתפים על בעיות ותקלות בשימוש. אם יש לכם מערכת פניות ציבור או "קו חם", תוודאו שאפשר לדווח בהם על טעויות או נזקים של מערכות AI. 


8. פיצוי ותיקון נזקים
איך לוודא שהחברה מתנהלת באופן הוגן ואחראי כאשר או קבוצה נפגעו ממערכת ה-AI?

  • העקרון של ה-OECD: נזק שנגרם על ידי מערכת AI של חברה מסוימת? החברה צריכה לפצות באופן שמחזיר את הנפגע למצב בו היה אלמלא התרחשה הפגיעה. זה צריך ללוות אתכם בכל קביעה של הליך.
  • ככל וניתן, תיזמו פרוטוקול קבוע מראש שישמש את החברה לקביעת פיצוי, התנצלות, או בחינת שינוי במדיניות כתוצאה מנזקי השימוש במערכות AI. 
  • אם יש גוף חיצוני שבוחן את התלונה - תוודאו שיש שיתוף פעולה של החברה עם אותו גוף. 
  • בקרה חיצונית – כמו ב-ESG, ובטח במקרה של נזק שהתרחש, מומלץ לעשות שימוש במומחים חיצוניים שיבחנו ויבדקו את המערכת, ויסייעו להבין את מקור הנזק – ואיך אפשר למנוע אותו בעתיד.