实施人工智能治理：如何将 ISO 42001 付诸实践

企业为何要实施人工智能治理？

企业应实施负责任的人工智能治理，以结构化的方式管理人工智能的使用，降低风险，建立信任，并有效满足监管和战略合规要求。

乍看之下，这似乎是一个雄心勃勃的想法，但很快便会发现，这不过是早已成为现实的趋势的必然结果：人工智能已经渗透到各行各业——而且往往比预期更快、更广泛、更深入。与此同时，监管要求也在不断提高——例如欧盟的《人工智能法案》——客户也越来越希望看到负责任地使用人工智能的可靠证据。

因此，关于ISO 42001实施和认证的看法发生了根本性转变。问题不再是企业是否应该实施人工智能治理，而是企业如何系统且可验证地实施人工智能治理，以及这样做能带来哪些好处。

这正是ISO 42001作为人工智能管理体系（AIMS）发挥作用的地方。作为全球首个人工智能管理体系标准，它定义了一个框架，用于系统地管理人工智能的使用、控制风险并明确责任。因此，它远不止是另一个标准——它更是将信任付诸实践的工具。

然而，在组织踏上这条道路之前，他们需要明确自己的目标。 ISO 42001认证这本身并非最终目的，也不应仅仅被视为一项合规项目。其目标在于建立客户、合作伙伴和监管机构之间的信任；专门解决诸如偏见、歧视、数据滥用或模型错误决策等风险；并为人工智能的使用建立健全的治理框架。

与此同时，这也带来了一个战略优势：在开拓者仍然很少的环境中，早期认证可以成为一个明显的差异化优势。

人工智能管理系统需要采取哪些初步步骤？

实施人工智能管理系统的第一步是对人工智能的实际使用情况进行全面评估，并明确定义在 ISO 42001 的背景下什么是人工智能。

因此，实现人工智能治理的真正路径并非始于政策或文件，而是始于对现状的诚实评估。而这正是许多公司遇到的第一个难题：他们对自身人工智能应用的了解远比他们意识到的要少。人工智能不仅存在于聊天机器人或机器学习模型等显而易见的应用中，还存在于日常运营中使用的众多工具、自动化流程、软件应用和数字化解决方案中。让这些“隐藏的人工智能”显现出来，是通往人工智能治理道路上最重要——同时也是最具挑战性——的步骤之一。 ISO 42001认证。

我们如何才能有效地评估人工智能系统？

与此密切相关的问题是，根据该标准，究竟什么才算是人工智能。并非所有系统都自动符合管理系统标准的要求。关键因素包括：系统是独立决策还是仅仅辅助决策；模型是经过训练还是仅仅被使用；以及应用对人员、流程、数据或决策的影响。这种区分至关重要，因为它界定了未来人工智能管理系统的范围。

人工智能治理需要哪些角色和职责？

人工智能治理需要在人工智能的整个生命周期中明确定义角色，因为不同的职责会带来不同的义务、风险和控制要求。

实施和认证 ISO 42001 时，一个常被低估但至关重要的方面是明确定义人工智能领域中的角色。该 ISO 标准要求在人工智能系统的整个生命周期中采用细致入微的方法。通常，可以区分三种角色：人工智能开发者、人工智能生产者和人工智能用户。

开发者负责开发模型和系统，包括训练、数据准备、模型架构和技术实现。而生产者则负责将人工智能系统部署到生产环境中，将其集成到业务流程中，并负责其运行和确保符合既定要求。最终，用户将人工智能应用于日常运营，根据结果做出合理的决策，或实现流程的自动执行。

这种区分不仅在组织层面具有重要意义，而且对风险评估、职责和控制机制也具有直接影响。这是因为不同的角色意味着不同的义务、风险以及影响人工智能行为的机会。

公司内部如何建立人工智能治理体系？

人工智能治理的发展借鉴了熟悉的管理系统框架，但由于人工智能的特殊要求，它需要的不仅仅是一个简单的附加组件。

这份简要概述是开发人工智能管理系统的起点。从形式上看，它基于已建立的ISO框架，例如以下文件中列出的框架： ISO 9001或者ISO 27001 ：

• 组织环境
• 风险管理
• 明确的角色和职责
• 已记录的信息
• 内部审计
• 持续改进（CIP）

这种熟悉的结构使得入门更加容易，至少乍一看是这样。然而，就内容而言，ISO 42001 引入了一个全新的维度，远远超越了传统的管理体系。

关键区别在于人工智能本身的本质。其他标准通常会明确定义“产品或服务”是什么，而人工智能则迫使企业重新思考一些根本性问题。

重点在于：

• 应用程序的伦理评估
• 算法公平性和透明度
• 训练数据的来源和质量
• 决策的可追溯性

责任问题尤其棘手：究竟谁该为人工智能做出的决策或借助人工智能做出的决策负责？这些问题无法简单地整合到现有系统中——它们需要思维方式的转变。

因此，许多组织一开始就假设ISO 42001可以作为现有管理体系的延伸来实施。然而，在实践中，很快就会发现这种方法的适用范围非常有限。虽然现有架构可以作为基础，但人工智能特有的要求要求对组织自身的流程、技术和决策机制进行更深入的审视。因此，ISO 42001并非简单的附加组件，而是一种视角转变。

ISO 42001 与欧盟人工智能法案有何关联？

欧盟人工智能法案规定了人工智能的监管要求，而 ISO 42001 则展示了组织如何系统地将这些要求整合到其治理和管理体系中。

与 ISO 42001 相关的一个日益重要的方面是根据法规规定对人工智能系统进行风险分类。它主要区分四种风险等级：

• 被禁用的人工智能系统
• 高风险系统
• 风险有限的人工智能系统
• 风险最小的系统

这种分类对开发、部署和监控的要求有直接影响。

风险极低的系统受到的监管要求很少，而高风险应用（例如涉及关键基础设施、人事决策或医疗应用的应用）则受到关于文档、透明度、人工监督、安全性和人工智能风险管理的严格要求。

对企业而言，这意味着 ISO 42001 和人工智能法规是相互关联的。虽然该法规明确规定……什么如果法律要求，ISO 标准则提供了一个结构框架，用于将这些要求系统地转化为具体措施。尤其是在高风险系统中，一个运转良好的 AI 管理系统对于确保合规性至关重要，它不仅能确保临时合规，还能确保可持续合规。

ISO 42001 在实践中如何实施？

ISO 42001 的成功实施取决于组织以迭代、跨职能和透明的方式管理人工智能部署、人工智能风险管理和责任。

在未明确的情况下，最好的情况是从角度来看，它是在 Frage 中进行操作的，并且与 KI eingesetzt 相关。 Unternehmen nutzen KI heute in unterschiedlichsten Bereichen – von der Automatisierung interner Prozesse über datenbasierte Entscheidungsunterstützung bis hin zur Kundeninteraktion oder Mustererkennung in großen Datenmengen.

然而，真正的挑战不在于识别这些应用领域，而在于权衡其收益与风险。这正是ISO 42001的作用所在：它促使组织主动寻求这种平衡，而不是听天由命。

认证之路人工智能的开发很少是一帆风顺的。相反，它充满了迭代、新的见解，有时也伴随着不确定性。典型的挑战包括职责不明确、现有人工智能系统缺乏透明度、风险评估的复杂性以及组织内部必要的文化转变。

随着流程的推进，有一点变得尤为清晰：人工智能治理和负责任地使用人工智能是不可推卸的。它不仅关乎管理层，也关乎IT部门和业务部门，需要各方达成共识并密切合作。

实施人工智能治理的理由是什么？

实施人工智能管理系统所面临的挑战不容忽视——然而，采用人工智能治理并追求人工智能治理也有许多充分的理由。 ISO 42001认证以结构化的方式进行。采取这一步骤的公司不仅能将自己定位为行业先驱，还能为应对未来的监管要求和确保可持续合规奠定坚实的法律基础。

他们通过与客户和合作伙伴建立信任，同时对自身如何运用人工智能有了更深入的了解。归根结底，这也是一个信誉问题：任何向他人解释如何负责任地使用人工智能的人，都应该能够以身作则，展现出这种承诺。

结论：人工智能治理不仅仅是颁发证书吗？

最终， ISO 42001认证它远不止是你待办事项清单上的又一项任务。它是一种工具，能帮助我们完善对当今关键技术之一的运用。在经验数据匮乏、最佳实践寥寥无几、指导有限的情况下，起步必然伴随着一定的风险。但这恰恰也是机遇所在。因为今天行动起来的人，正在积极塑造未来的标准。

因此，关键问题不在于这条路是否容易。它并不容易。关键问题在于，在数字化和技术治理的背景下，我们是否准备好应对当前的挑战，并将人工智能的负责任使用提升到一个新的水平。

DQS——因为并非所有审核都同等重要。

正如每家公司和组织使用人工智能的方式各不相同，它们追求的目标也千差万别。为了确保人工智能系统的安全使用，一项专门针对人工智能的全新国际管理体系标准——ISO/IEC 42001——已于2023年底生效。DQS是全球首批提供ISO 42001认证的机构之一。

充分利用我们专家的专业知识。了解最重要的标准要求及其对贵组织的意义。40年来，我们一直致力于……公正的审计和认证我们的承诺始终始于审计清单结束之处。请相信我们。期待您的回复。

信任与专业

我们的文件和手册均由我们的标准专家或经验丰富的审核员撰写。如果您对文件内容或我们的服务有任何疑问，请随时给我们发送电子邮件： willkommen@dqs.de

注：为便于阅读，我们使用通用的男性形式。但是，本指令通常涵盖所有性别认同的人士，具体范围视情况而定。