В этой статье будут рассмотрены основные регуляторные изменения и практические шаги, которые финансовые учреждения должны предпринять в этой быстро меняющейся среде.

Автор статьи, источник: Сяо Найин, Фэй Сюй, Лэй Мин, исследование King & Wood Mallesons

Генеративный ИИ ускоряет распространение — регуляторы сосредотачиваются на практике

По мере того как финансовые учреждения продолжают внедрять генеративный искусственный интеллект («генеративный ИИ»), внимание регуляторов смещается с принципиальных политических заявлений на практическое применение. В нашем руководстве для финансовых учреждений по генеративному ИИ, опубликованном в январе 2025 года [1], уже отмечалось, что регуляторная среда для генеративного ИИ формируется, хотя в то время соответствующие рамки оставались в основном принципиальными. [2]

После этого акцент регулирования сместился с макропринципов на операционное управление. Гонконг переходит от экспериментального этапа к ответственному применению, а регулирование на материковом Китае становится все более детализированным, особенно в области управления контентом, обработки данных, обязательств по регистрации и регулирования моделей. В данной статье будут рассмотрены основные регуляторные изменения и практические шаги, которые финансовые учреждения должны предпринять в этой быстро меняющейся среде.

Гонконг: от экспериментов к структурированному применению

Развитие в Гонконге в последнее время показывает, что сфера финансовых услуг продвигает применение генеративного ИИ более зрелым и прагматичным способом. Регулирующий акцент делается на том, могут ли финансовые учреждения внедрять соответствующие технологии ответственно, подконтрольно, с упором на защиту инвесторов и с учетом возможности прохождения регуляторной проверки.

В отчете «Новая эра GenA.I.: Содействие ответственному применению искусственного интеллекта в финансовых услугах», опубликованном Управлением финансовых услуг Гонконга («УФУ») в апреле 2025 года [3], отмечается, что восприятие генеративного ИИ в Гонконге меняется — 75% опрошенных финансовых учреждений уже внедрили или разрабатывают приложения ИИ, и ожидается, что к следующим трем-пяти годам этот показатель достигнет 87%.

В то же время практические руководства становятся все более конкретными. Например, Управление по защите личных данных частных лиц Гонконга в марте 2025 года выпустило «Список контрольных пунктов по использованию генеративного ИИ сотрудниками» [4], превратив вопросы конфиденциальности и управления в конкретные операционные меры контроля. В этом списке рекомендуется разработать четкие политики в отношении использования инструментов, ввода данных, хранения и сохранения выходных данных, проверки, коррекции смещений и отчетности, водяных знаков и маркировки, доступа к устройствам и сообщения о инцидентах.

Офис цифровой политики Гонконга в апреле 2025 года впервые опубликовал, а в декабре того же года обновил «Руководство по технологиям и применению генеративного ИИ в Гонконге» [5], которое предоставляет дополнительные рекомендации по лучшим практикам и подчеркивает принципы справедливости, прозрачности, права пользователей на выбор и устранения предвзятости. Финансовые учреждения, использующие генеративный ИИ для взаимодействия с клиентами, рекомендательных систем, поддержки соответствия, внутренней классификации или отбора рисков, должны рассматривать это руководство как важную часть общей рамки соответствия.

Одним из особенно важных достижений является постоянное расширение регуляторной рамки для генеративного ИИ в Гонконге. Как мы отмечали в нашей статье в январе 2025 года, Управление по финансовым услугам в 2024 году совместно с Cyberport запустило песочницу для генеративного ИИ, предоставив утвержденным учреждениям контролируемую среду для разработки и тестирования инновационных применений генеративного ИИ в банковском секторе.

В октябре 2025 года Управление по банковскому надзору выпустило «Первый отчет о песочнице GenA.I.» [6], в котором были указаны управление рисками, меры против мошенничества и опыт клиентов как три основные области тестирования, а также обозначены технические и управленческие вызовы, такие как галлюцинации контента и ошибки информации. Это ознаменовало смещение акцента регулирования с поощрения инноваций на понимание того, как безопасно интегрировать генеративный ИИ в банковскую деятельность.

Кроме того, второй этап программы GenA.I. Sandbox, запущенный в октябре того же года, отражает значительный сдвиг от экспериментирования с возможностями ИИ к обеспечению безопасной и надежной реализации. МАФ выбрал 27 кейсов, охватывающих 20 банков и 14 технологических партнеров, уделяя особое внимание активному управлению ИИ, автоматическому контролю качества и адверсарному моделированию для повышения способности противостоять мошенничеству с использованием глубоких подделок. Это знаменует собой четкий переход к подготовке к развертыванию, обеспечению эффективности контроля и снижению рисков с помощью ИИ.

В марте 2026 года Управление по финансовым услугам совместно с Комиссией по ценным бумагам и фьючерсам, Комиссией по надзору за страховой отраслью и Управлением по управлению обязательными пенсионными планами запустили GenA.I. Sandbox++, расширив рамки до секторов ценных бумаг, активов и управления богатством, страхования, обязательных пенсионных планов и инструментов хранилища платежей. В нем сохранены три ключевые области — управление рисками, борьба с мошенничеством и опыт клиентов, при этом четко подтверждена дальнейшая реализация регуляторной стратегии «ИИ против ИИ», то есть использование ИИ для управления рисками, связанными с ИИ.

В ноябре 2025 года Управление по финансовым услугам выпустило стратегию «FinTech 2030», включающую стратегию «Искусственный интеллект x утвержденные учреждения», направленную на содействие всестороннему и ответственному применению искусственного интеллекта в финансовой отрасли, а также на развитие общих и масштабируемых инфраструктур и отраслевых моделей. С юридической и регуляторной точки зрения эта стратегия подчеркивает важное сообщение: управление ИИ больше не является изолированной инновационной темой, а должно быть интегрировано в корпоративную архитектуру, устойчивость бизнеса, защиту клиентов и готовность к регулированию.

В марте 2026 года Управление по финансовым услугам выпустило циркуляр для всех утвержденных учреждений о бизнес-моделях в условиях цифровой трансформации [7], указав, что новые технологии, включая агентное ИИ, ускоряют цифровую трансформацию. В циркуляре четко указаны ожидания Управления по финансовым услугам ко всем утвержденным учреждениям — активно оценивать и корректировать свои долгосрочные бизнес-модели в ответ на технологические изменения. Кроме прочего, циркуляр требует, чтобы советы директоров каждого утвержденного учреждения до 9 сентября 2026 года контролировали и одобрили официальный стратегический план по цифровой трансформации и финансовой цифровизации. Этот стратегический план должен выявить возможности для корректировки или трансформации в области предложения продуктов, моделей доходов, взаимодействия с клиентами, управления рисками и операций. Подробную информацию о циркуляре Управления по финансовым услугам о цифровой трансформации см. в нашей инфографике. [8]

Недавние тенденции в регулировании Гонконга показывают, что финансовые учреждения должны создать комплексную систему, охватывающую данные, технологическую устойчивость, управление и подотчетность, и управлять генеративным ИИ на всех этапах его жизненного цикла строго и с документальным подтверждением.

На практике это включает следующие пункты:

(Различие сценариев использования приложения) Необходимо тщательно различать различные сценарии развертывания. Внутренние инструменты, приложения клиентов, инструменты мониторинга и наблюдения, сценарии поддержки принятия решений и сторонние модели могут вызывать различные правовые и рисковые соображения; объединение их в одну категорию «использование ИИ» может быть недостаточно для выполнения требований;

(Фокус управления) Организации должны включить в сферу управления вопросы, обычно описываемые как чисто технические (такие как проектирование промптов, механизмы поиска, обработка выходных данных, верификация моделей, пороги отчетности и человеческий аудит);

(Согласование с политикой) Организации должны привести свои внутренние политики в соответствие с терминами и приоритетами, указанными в гонконгских руководящих принципах, включая ответственное применение, справедливость, точность, прозрачность, конфиденциальность, подотчетность и реагирование на инциденты;

(Регуляторный баланс) Организации должны быть готовы к сужению пространства между поддержкой инноваций и регуляторным надзором. Хотя участие в песочнице и другие формы регуляторного взаимодействия могут ускорить внедрение, они также означают более высокие требования к управлению; и

(Регуляторная коммуникация) Участие в песочницах и пилотных проектах следует рассматривать как деятельность по подготовке к регулированию, а не только как возможность для инноваций. Перед взаимодействием с регуляторами организации должны обеспечить четкое распределение обязанностей и полномочий, одобренные и задокументированные тесты и проверки (включая контроль отклонений и иллюзий), четкие условия для ручного контроля и триггеров отчетности, а также полный комплект доказательств для возможной проверки.

Китайский континент: переход к операционному и регуляторно-ориентированному подходу

Регуляторная рамка для генеративного ИИ в материковом Китае продолжает развиваться в направлении большей практической применимости, нормативной четкости и ориентации на регулирование. Для финансовых учреждений практические вопросы уже не сводятся только к вопросу, разрешено ли использование определенного инструмента ИИ, а заключаются в способности финансовых учреждений доказать, что соответствующие сценарии использования были должным образом классифицированы, при необходимости зарегистрированы, сопровождаются надлежащим контролем данных и находятся под наблюдением на протяжении всего жизненного цикла.

Это крайне важно, поскольку регуляторные границы становятся все более тонкими. Последние достижения в области маркировки контента, сгенерированного ИИ, регистрации алгоритмов и моделей, оценки безопасности, национальных стандартов и управления данными в финансовой отрасли указывают на одно и то же направление: соблюдение норм ИИ в материковом Китае все больше сосредотачивается на внедрении доказательств.

Методология идентификации контента, сгенерированного и синтезированного с помощью искусственного интеллекта, выпущенная совместно Государственным управлением по делам интернет-информационной деятельности, Министерством промышленности и информационных технологий, Министерством общественной безопасности и Государственным управлением по делам радио, кино и телевидения, превращает высокие уровни прозрачности и проблем управления в конкретные, практические требования к маркировке контента и метаданным.

Суть этого метода заключается в двойной системе маркировки, требующей одновременного внедрения:

a) явные метки, видимые для пользователей; и

b) Неявная маркировка с встраиванием метаданных файла для обеспечения прослеживаемости.

Этот двойной метод маркировки отражает четкие регуляторные ожидания: прозрачность для пользователей и обратная прослеживаемость для регулирования, правоохранительных органов и подотчетности должны функционировать параллельно. Важно, что этот подход также расширяет ответственность на всю цепочку создания AI-контента. В целом:

Поставщики услуг по генерации контента должны внедрять маркировку контента (включая явную и неявную маркировку) на этапе генерации контента, обеспечивая точность и долговечность маркировки, а также поддерживать возможность отслеживания и подотчетности при регуляторных проверках или расследованиях AI-сгенерированного контента;

Платформы распространения контента должны выявлять, сохранять и отображать существующие маркировки, добавленные к контенту, сгенерированному ИИ, предотвращать и устранять намеренное удаление, подделку или злоупотребление маркировками, а также сотрудничать с регулирующими органами в рамках регулирования, включая контроль за прослеживаемостью и трассируемостью контента; а также

Пользователи не могут намеренно удалять, изменять, скрывать или подделывать явные маркеры, не могут намеренно изменять неявные маркеры или технические идентификаторы, не могут ложно представлять сгенерированный ИИ контент как созданный человеком с целью ввести других в заблуждение, а также не могут использовать синтетический контент с целью обойти отслеживаемость или регулирование.

Этот метод дополнительно различает подтвержденные, возможные и предполагаемые AI-сгенерированные контенты для поддержки соответствующего управления и регулирования. Эти категории не возлагают общих обязательств по обнаружению AI на платформы распространения или пользователей. Напротив, они признают существование различных уровней определенности источника контента, и обязательство по маркировке применяется только к подтвержденным AI-сгенерированным контентам, созданным поставщиками регулируемых сервисов генерации AI-контента.

В целом, этот метод отмечает переход к модели совместной ответственности и жизненного цикла управления, при которой маркировка контента и прослеживаемость позиционируются как базовые контрольные меры по управлению рисками синтетического контента в рамках постоянно развивающейся регуляторной рамки материкового Китая.

Несмотря на растущее внимание к аннотации данных и прослеживаемости на операционном уровне, регистрация алгоритмов и моделей остается ключевым столпом регуляторной структуры ИИ в материковом Китае. Хотя соответствующие законы и нормативные акты не претерпели значительных изменений в последнее время, регуляторная практика и ее реализация продолжают развиваться.

Следующие наблюдения заслуживают особого внимания финансовых учреждений:

1. Регистрация алгоритмов и регистрация моделей — это два независимых и потенциально пересекающихся регуляторных процесса. При выполнении соответствующих условий некоторые поставщики услуг генеративного ИИ могут нести обязательство по «двойной регистрации», охватывающее как уровень алгоритмов, так и уровень моделей.
2. Некоторые приложения для финансовых услуг сталкиваются с большей регуляторной неопределенностью. Регуляторный подход к регистрации моделей, связанных с конкретными случаями использования финансовых услуг, все еще находится в стадии развития. Согласно публично доступным записям о регистрации, успешное одобрение алгоритмов или моделей, напрямую используемых для функций, таких как оценка финансовых рисков, кредитование или принятие решений по кредитам, а также деятельность по торговле на основе ИИ, ограничено. Учитывая их потенциальное влияние на стабильность рынка и защиту потребителей, такие случаи использования, по-видимому, подвергаются более строгому контролю.
3. Некоторые клиентоориентированные сценарии использования стали более зрелыми. Публично доступная информация о регистрации показывает, что несколько алгоритмов и моделей, связанных с клиентоориентированными приложениями, уже получили одобрение, например, AI-чат-боты и помощники, а также некоторые AI-инструменты для управления финансами или анализа ценных бумаг. Стоит отметить, что такие сценарии, как правило, характеризуются функциями генерации контента или информационной поддержки, а не прямым принятием решений или выполнением рискованных действий.

Недавние мероприятия по применению закона показали, что получение разрешения или регистрация не рассматриваются как окончательные или статичные результаты. Для организаций, предоставляющих услуги алгоритмической рекомендации или генеративного ИИ, ожидания распространяются на весь жизненный цикл системы. При возникновении юридических или регуляторных триггеров (например, изменение сценариев использования, функций модели, источников данных, охвата пользователей или каналов распространения) организации могут быть обязаны провести дополнительную оценку безопасности, обновить существующую регистрацию или инициировать диалог с регуляторами.

Эта тенденция усугубляется более широкими инициативами по применению законодательства. В апреле 2025 года Государственное управление по делам интернет-пространства запустило трехмесячную национальную специальную кампанию «Чистый интернет: борьба с злоупотреблением ИИ-технологиями», в ходе которой регуляторы предприняли действия против большого числа несоответствующих ИИ-продуктов и связанного контента. Это ясно демонстрирует, что соблюдение требований в области ИИ теперь прочно интегрировано в повседневную регуляторную деятельность, а не рассматривается как исключительная или переходная проблема. Неспособность поддерживать постоянное соответствие может увеличить риски привлечения к ответственности со стороны регуляторов, публичных предупреждений, требований об устранении нарушений, административных наказаний и соответствующего репутационного ущерба.

Помимо маркировки содержания, регистрации и оценки безопасности, регуляторные рамки для генеративного ИИ на материковом Китае продолжают расширяться по объему и детализации. Недавние регуляторные инструменты и инициативы показывают, что регуляторы постепенно расширяют фокус внимания с безопасности содержания и технического соответствия на поведенческое влияние, этическое управление и управление рисками в конкретных сценариях, особенно в ситуациях с высоким уровнем риска.

Одним из важных аспектов этого развития является растущее взаимодействие между управлением генеративным ИИ, рамками этического обзора технологий и требованиями к защите персональных данных в соответствии с Законом о защите персональной информации. Хотя эти две системы не являются новыми, их применение в сценариях ИИ становится все более очевидным и практическим. Особенно, когда системы ИИ затрагивают обработку персональных данных, автоматизированные решения или функции, которые могут существенно повлиять на права и интересы личности, регулирующие органы все чаще ожидают, что организации будут оценивать не только законность и безопасность, но и справедливость, объяснимость и этические риски.

Совместно опубликованный в апреле 2026 года «Методологический документ по этическому обзору и обслуживанию технологий искусственного интеллекта (экспериментальная версия)» несколькими ведомствами указывает, что некоторые виды разработки и применения ИИ с более высоким уровнем риска — в частности, сценарии, связанные с чувствительными персональными данными, вмешательством в поведение или масштабным социальным воздействием — могут требовать структурированного этического обзора или экспертной оценки в рамках более широкой системы соблюдения норм. Необходимость такого обзора будет зависеть от конкретного использования, задействованных данных и среды развертывания и должна оцениваться на индивидуальной основе.

Для финансовых учреждений прямое регуляторное воздействие этих мер может быть ограниченным. Однако эти изменения имеют важное значение как сигнал направления регулирования. Они указывают на то, что регулирование ИИ в материковом Китае переходит от общих обязательств к сценарно-ориентированным, функционально-ориентированным и ориентированным на влияние на пользователя требованиям. Управление генеративным ИИ все чаще ожидается не только в плане технической надежности, но и в плане проектирования взаимодействия человек-машина, мер защиты и механизмов обновления.

Помимо официальных правовых и административных мер, национальные стандарты играют все более важную роль в формировании ожиданий в области соблюдения практик ИИ. В области генеративного ИИ регуляторные органы уже выпустили несколько национальных стандартов, предоставляющих руководство по оценке безопасности машинного обучения, маркировке синтетического контента, безопасности обучающих данных и базовым требованиям к сервисам. Дополнительные национальные стандарты, связанные с безопасностью ИИ-моделей как сервиса, оценкой способности к безопасной эксплуатации на протяжении всего жизненного цикла и применением агентного ИИ, находятся в разработке.

Эти национальные стандарты выполняют функцию регуляторной меры, предоставляя ориентиры для регулирующих органов по оценке достаточности мер безопасности, механизмов управления и операционных контролей на практике. Со временем они могут играть все более важную роль в регулировании и правоприменении, формируя ожидания относительно того, что считается «соответствующими» мерами защиты для систем ИИ.

Вместе с мерами, направленными на ИИ, регулирование финансовой отрасли на материковом Китае все больше усиливает ожидания в отношении управления данными и моделями, что напрямую влияет на развертывание генеративного ИИ. Конкретно:

a) Требования к безопасности данных и управлению жизненным циклом данных усиливаются. Согласно «Методам управления безопасностью данных в области деятельности Банка Китая», опубликованным Народным банком Китая 1 мая 2025 года, финансовые учреждения обязаны внедрять классификацию и градацию данных, создавать и регулярно обновлять реестры данных, выявлять персональные, конфиденциальные и важные данные, распределять внутренние обязанности и применять меры по обеспечению безопасности данных на всех этапах жизненного цикла; а также

b) Управление моделями и централизованное регулирование становятся приоритетными задачами регулирования. В декабре 2025 года Государственное управление по надзору за финансами выпустило «План реализации высококачественного развития цифровых финансов в банковском и страховых секторах», поощряя учреждения создавать корпоративные платформы для управления ИИ и моделями с целью поддержки централизованной разработки, развертывания и мониторинга моделей.

В целом, эти регуляторные тенденции указывают на то, что применение ИИ в финансовой отрасли все чаще ожидается с сопровождением структурированной модели управления жизненным циклом, четкими точками человеческого вмешательства и усиленным регулированием поставщиков и внешних технологических подрядчиков. Таким образом, соблюдение норм ИИ в материковом Китае все больше сходится с устоявшимися нормами контроля в финансовой отрасли, все больше акцентируя внимание на зрелости управления, качестве документации и готовности к регулированию.

Последние события показывают, что материковый Китай углубляет реализацию регулирования ИИ. Макроконцепции, такие как безопасность, прозрачность и ответственное использование данных, остаются важными, но давление со стороны регуляторов все больше сосредотачивается на том, как учреждения на практике документируют, подтверждают и реализуют эти концепции.

Для финансовых учреждений внедрение ИИ в материковом Китае должно сопровождаться структурированным управлением, контролем жизненного цикла и обоснованной документацией. Финансовые учреждения, которые с самого начала включают анализ документирования, управление данными, оценку безопасности, управление рисками моделей и надзор за поставщиками в проектирование и эксплуатацию систем ИИ, будут более способны ответственно масштабировать применение ИИ.

Глобальный обзор: мониторинг, концентрация и зависимость

За пределами Гонконга и материкового Китая отчет Финансового стабильного совета от октября 2025 года «Мониторинг применения ИИ в финансовой отрасли и связанных с этим уязвимостей» [9] подчеркивает, что ИИ в финансовой отрасли — это не только вопрос поведения или технологии, но и вопрос финансовой стабильности. В отчете особо отмечены быстрые темпы развития моделей ИИ, растущая зависимость от сторонних поставщиков, а также постоянно меняющиеся цепочки поставок, а также необходимость для регуляторов отслеживать применение, устранять пробелы в данных и понимать уязвимости, связанные с зависимостью от сторонних поставщиков и рисками концентрации. Для организаций это означает, что управление ИИ должно выходить за рамки этических политик и документации моделей и включать аутсорсинг, операционную устойчивость и риски экосистемы. Например: зависимость от небольшого числа поставщиков базовых моделей, облачных платформ, поставщиков данных и уровней интеграции ИИ; ограниченная видимость источников обучающих данных и циклов обновления моделей; а также риск одновременного воздействия на несколько организаций из-за сбоев у одного поставщика, изменений модели или инцидентов безопасности.

Регуляторное внимание может распространиться от выводов отдельной модели на более широкую среду контроля, включая контрактные и аудиторские права, управление изменениями и контролем выпуска, непрерывность бизнеса и альтернативное планирование, переносимость данных, отчетность о инцидентах, а также постоянный мониторинг производительности и экспозиции по концентрации у третьих сторон.

Практическое влияние на финансовые учреждения

Существующая регуляторная среда не сформировала единого универсального списка. Юридические и регуляторные ожидания будут различаться в зависимости от отрасли, бизнес-модели, вариантов использования, операционного присутствия и дизайна развертывания. Тем не менее, недавние события указывают на практическую повестку дня, которую теперь должны учитывать многие финансовые учреждения.

1. (Управление и надзор) Совет директоров и высшее руководство должны обеспечить установление четкой системы подотчетности, путей отчетности и рамок утверждения для значимых случаев использования ИИ;
2. (Оценка сценариев) Институты должны обеспечить усиленную правовую, комплаенс-, модельную и техническую проверку для сценариев с значительным воздействием;
3. (Данные и конфиденциальность): Рабочие процессы подсказок, поиска и обучения должны быть рассмотрены в контексте более широких обязательств по управлению данными и конфиденциальности;
4. (Прозрачность и обработка выводов) Организации должны проверить, соответствуют ли процедуры раскрытия информации клиентам, руководств для сотрудников, маркировки выводов и контроля качества своим целям;
5. (Риски, связанные с третьими сторонами и аутсорсингом): следует усилить Due Diligence поставщиков, контроль договоров, планы альтернативы и непрерывный мониторинг; а также
6. (Тестирование, мониторинг и отчетность о событиях) Планы тестирования, документирования, мониторинга моделей и отчетности о событиях должны быть пропорциональны использованию.

Единственная развернутая генеративная ИИ-система может затрагивать несколько аспектов, включая персональные данные, банковскую тайну, интеллектуальную собственность, клиентскую коммуникацию, верификацию моделей, операционную устойчивость, аутсорсинг и ведение документации. Поэтому передача этих вопросов исключительно одной команде инноваций или технологий обычно недостаточна.

Также крайне важно наличие человеческого контроля. Для высокорисковых сценариев общие упоминания о «человеческом цикле участия» могут быть неубедительными, если организация не сможет пояснить, когда требуется проверка, кто отвечает за проверку, что должны проверять эксперты, как фиксируются результаты проверки и когда происходит приостановка или блокировка.

Наблюдения за практикой управления ИИ в глобальных финансовых институтах

На основе выборочного, не исчерпывающего анализа практик управления ИИ в определенных глобальных финансовых институтах мы делаем следующие общие наблюдения. Обратите внимание, что эти наблюдения носят высокого уровня и иллюстративный характер. Единого подхода к управлению ИИ не существует; рамки каждого финансового института обычно отражают комплексное сочетание факторов, включая применимые регуляторные и надзорные ожидания в соответствующих юрисдикциях, организационную структуру, предпочтения в области рисков, этап технологической зрелости и характер использования ИИ.

Формируется общая трехуровневая модель управления: многие организации применяют трехуровневую модель управления, адаптированную под ИИ. На операционном уровне сценарии использования ИИ обычно инициируются и разрабатываются отдельными бизнес-подразделениями в децентрализованном порядке. На промежуточном уровне организации, как правило, создают межфункциональные комитеты (например, комитет по управлению ИИ или совет по ответственному ИИ), в состав которых входят старшие представители команд по риску, соответствию, данным, технологиям и бизнесу, ответственные за рассмотрение, утверждение и мониторинг сценариев использования ИИ. На высшем уровне окончательный надзор за стратегией, рисками и управлением ИИ сохраняется за советом директоров или комитетом уровня совета директоров (как правило, существующим комитетом по риску или технологиям, а не новым специально созданным советом директоров по ИИ).

Институциональные организации обычно не рассматривают управление ИИ как отдельную структуру: вместо этого ИИ интегрируется в существующие рамки управления, в частности в рамки управления модельными рисками, операционными рисками, технологическим управлением и управлением данными. Многие организации рассматривают модели ИИ как расширение рамок управления модельными рисками, подвергая их проверке, мониторингу и регулярному аудиту, аналогичным процессам для традиционных моделей, при этом адаптируя эти процессы для учета специфических рисков ИИ, таких как объяснимость, предвзятость и сдвиг модели.

Сильное внимание к внутренним принципам «ответственного ИИ»: многие организации разработали внутренние принципы или стандарты управления ИИ в качестве базовых требований для всех применений ИИ. Хотя терминология может различаться, эти принципы обычно сходятся вокруг следующих общих тем:

• Справедливость и предотвращение смещений или дискриминационных результатов;
• Прозрачность и объяснимость выводов модели и ограничений;
• Управление данными, конфиденциальность и защита приватности; и
• Ongoing testing, monitoring, and model performance validation.

Эти принципы все чаще внедряются через внутренние политики, рамки контроля и процессы утверждения, а не остаются лишь декларативными заявлениями.

Межфункциональное управление — ключевая характеристика: управление ИИ редко ограничивается одной функцией. Организации обычно вовлекают множество заинтересованных сторон из команд данных, технологий, юриспруденции, соблюдения норм, управления рисками и бизнеса. Специализированные комитеты по управлению ИИ или центры компетенций часто используются для координации этих функций, разработки общих стандартов и обеспечения согласованности между различными сценариями применения. В некоторых организациях централизованная функция ИИ разрабатывает политики и инструменты для всей компании, в то время как бизнес-подразделения сохраняют ответственность за их реализацию.

Комитет по одобрению конкретных случаев использования не имеет единой практики: хотя некоторые учреждения создали формальные комитеты для одобрения отдельных случаев использования ИИ, другие полагаются на существующие процессы одобрения (такие как комитет по управлению рисками моделей или форум технических изменений). В крупных глобальных учреждениях обычно стремятся интегрировать ИИ в существующую инфраструктуру управления, а не создавать новые органы одобрения, что отражает подход, согласно которому риски, связанные с ИИ, должны управляться в рамках более широкой корпоративной системы управления рисками.

Жизненный цикл управления становится все более важным: управление ИИ ограничивается не только начальным одобрением. Организации все больше уделяют внимания полному управлению жизненным циклом, включая:

• Классификация примеров и уровни риска;
• Тестирование и проверка перед развертыванием;
• Постоянный мониторинг производительности и обнаружение смещений;
• Четкие пороги ручного вмешательства и отчетности; и
• Periodic review, retraining, and retirement processes.

Это отражает более широкий переход от статического контроля к постоянному наблюдению.

Ручной контроль остается ключевым механизмом управления: все организации признают критическую важность ручного контроля, особенно для высокорисковых сценариев использования. Однако более зрелые рамки выходят за пределы общей концепции «человеческого участия в цикле», стремясь более точно определить, когда требуется проверка, кто отвечает за проверку, какие стандарты должны применяться, а также как документировать и подтверждать процессы.

Управление данными и интерпретируемость моделей являются приоритетными областями внимания: организации в целом подчеркивают вызовы, связанные с качеством данных, их источниками и контролем доступа, а также интерпретируемостью сложных моделей. Эти аспекты часто рассматриваются как ключевые проблемы управления, а не как чисто технические вопросы, особенно в регулируемой среде финансовых услуг, где интерпретируемость и аудиторская проверка тесно связаны с требованиями регуляторов.

Рамки управления постоянно эволюционируют в зависимости от вариантов использования и регуляторных ожиданий: большинство организаций продолжают совершенствовать свои рамки управления ИИ. По мере расширения вариантов использования ИИ — особенно в областях взаимодействия с клиентами, поддержки принятия решений и управления рисками — рамки управления адаптируются для учета новых рисков, регуляторных изменений и операционного опыта. Следовательно, управление ИИ следует рассматривать как динамическую и постоянно развивающуюся дисциплину, а не как фиксированную структуру.

В целом эти наблюдения указывают на то, что мир стремится к конвергенции интегрированных, принципиально основанных и ориентированных на жизненный цикл рамок управления ИИ, которые опираются на существующие инфраструктуры управления рисками и контролем, но все больше адаптируются для учета уникальных характеристик и рисков систем ИИ.

В этой статье «Гонконг» означает Гонконгский специальный административный район Китайской Народной Республики.