Цей матеріал зосереджуватиметься на ключових регуляторних змінах та практичних кроках, які фінансові установи повинні зробити в цій швидко змінній середовищі.

Автор статті, джерело: Сяо Найін, Фей Сюй, Лей Мінь, дослідження King & Wood Mallesons

Генеративний ІІ швидко поширюється — регулятори зосереджуються на практичних аспектах

Зі збільшенням використання генеративного штучного інтелекту (“генеративний ІІ”) фінансовими установами, увага регуляторів зміщується від загальних політичних декларацій до практичного застосування. У нашому керівництві “Генеративний ІІ для фінансових установ”, опублікованому в січні 2025 року [1], ми вже зазначали, що регуляторна структура для генеративного ІІ формується, хоча на той момент відповідні рамки залишалися переважно принциповими. [2]

Після цього акцент регулювання змістився з макропринципів на операційне управління. Гонконг переходить від етапу тестування до відповідального застосування, а регулювання на материковому Китаї стає все більш деталізованим, зокрема щодо управління контентом, обробки даних, обов’язків реєстрації та регулювання моделей. У цій статті ми зосередимося на основних регуляторних змінах та практичних кроках, які фінансові установи повинні зробити в цьому швидко змінному середовищі.

Гонконг: від експериментів до структурованих застосувань

Останні розвитки в Гонконзі свідчать про те, що сектор фінансових послуг застосовує генеративний ІІ з більш зрілою та практичною підходом. Регуляторна увага зосереджена на тому, чи можуть фінансові установи розгортати відповідні технології відповідально, з контролем, з акцентом на захист інвесторів та здатністю витримати регуляторний огляд.

Звіт Гонконзького управління фінансових послуг («Управління») від квітня 2025 року «Нова ера GenA.I.: Сприяння відповідальному застосуванню штучного інтелекту у фінансових послугах» [3] вказує, що ставлення Гонконгу до генеративного ІІ змінюється — 75% опитаних фінансових установ вже впровадили або розробляють застосунки ІІ, і цей показник очікується на рівні 87% протягом наступних трьох-п’яти років.

Тим часом практичні рекомендації стають все більш конкретними. Наприклад, Управління з захисту особистих даних Гонконгу у березні 2025 року опублікувало «Перелік рекомендацій щодо використання генеративного ІІ працівниками»[4], який перетворює питання конфіденційності та управління на конкретні заходи контролю. У цьому переліку рекомендується розробити чіткі політики щодо використання інструментів, введення даних, зберігання та збереження виводу, перевірки, виправлення зміщень та звітності, водяних знаків та позначень, доступу до пристроїв та повідомлення про події.

Офіс цифрової політики Гонконгу у квітні 2025 року вперше опублікував, а у грудні того ж року оновив «Керівництво з технологій та застосувань генеративного штучного інтелекту в Гонконзі» [5], яке надає додаткові рекомендації щодо найкращих практик, з акцентом на принципи справедливості, прозорості, права користувачів на вибір та виправлення упереджень. Фінансові установи, що використовують генеративний ШІ для взаємодії з клієнтами, рекомендаційних систем, підтримки відповідності, внутрішньої класифікації чи фільтрації ризиків, повинні розглядати це керівництво як важливу складову загальної рамки відповідності.

Одним із найважливіших досягнень є постійне розширення регуляторного каркасу Гонконгу щодо генеративного ШІ. Як ми зазначали у своїй статті в січні 2025 року, Управління грошово-кредитної політики спільно з Digital Harbor у 2024 році запустило GenA.I. сендбокс, щоб надати акредитованим установам контролюване середовище для розробки та тестування інноваційних застосувань генеративного ШІ в банківській сфері.

У жовтні 2025 року Управління фінансових послуг опублікувало «Звіт про перший етап санкційної зони GenA.I.» [6], у якому визначено три ключові сфери тестування: управління ризиками, заходи проти шахрайства та досвід клієнтів, а також зазначено технічні та управлінські виклики, такі як ілюзії контенту та інформаційні помилки. Це позначило зміщення акценту регулювання з підтримки інновацій на розуміння того, як безпечно інтегрувати генеративний ІІ в операції банків.

Крім того, друга фаза GenA.I. санбоксу, запущена в жовтні того ж року, відображає значний перехід від тестування можливостей ШІ до безпечного та надійного їх впровадження. MAS відібрав 27 сценаріїв, що охоплюють 20 банків і 14 технологічних партнерів, з акцентом на активне керування ШІ, автоматичний контроль якості та протидіючі симуляції для підвищення здатності запобігати мошенництву з використанням глибоких підмін. Це позначає чіткий перехід до підготовки до розгортання, ефективного контролю та зменшення ризиків за допомогою ШІ.

У березні 2026 року Управління фінансових ресурсів разом із Комісією з цінних паперів та ф'ючерсів, Управлінням страхової діяльності та Управлінням обов’язкових накопичувальних пенсійних планів запустили GenA.I. сендбокс++, розширили рамки до секторів цінних паперів, активів та управління багатством, страхування, обов’язкових накопичувальних пенсійних планів та платіжних інструментів зі збереженням коштів. Він зберігає три ключові напрямки — управління ризиками, боротьбу з мошеництвом та досвід клієнта, а також чітко продовжує реалізацію регуляторної стратегії «AI проти AI», тобто використання штучного інтелекту для контролю ризиків, пов’язаних з ШІ.

У 2025 році, у листопаді, Управління фінансових послуг запровадило стратегію «Фінтех 2030», яка включає стратегію «Штучний інтелект x дозволені установи», спрямовану на просування всебічного та відповідального застосування штучного інтелекту у фінансовому секторі та сприяння розвитку спільних та масштабованих інфраструктур та галузевих моделей. З юридичної та регуляторної точки зору ця стратегія підсилює важливий посил: управління ШІ більше не є ізольованою інноваційною темою, а має бути інтегрованою в корпоративну архітектуру, бізнес-стійкість, захист клієнтів та підготовку до регулювання.

У березні 2026 року Управління з регулювання фінансових послуг розіслало всім затвердженим установам лист щодо бізнес-моделей у контексті цифрової трансформації [7], зазначивши, що нові технології, зокрема агентне штучне інтелекту, прискорюють цифрову трансформацію. У листі визначено очікування Управління щодо всіх затверджених установ — активно оцінювати та адаптувати свої довгострокові бізнес-моделі для реагування на технологічні зміни. Крім іншого, лист вимагає, щоб ради кожної затвердженої установи до 9 вересня 2026 року контролювали та затверджували офіційний стратегічний план щодо цифрової трансформації та фінансової цифризації. Цей стратегічний план повинен визначити можливості для адаптації або трансформації у сфері надання продуктів, моделей доходу, взаємодії з клієнтами, управління ризиками та операцій. Детальну інформацію щодо листа Управління з цифрової трансформації дивіться у нашій інфографіці. [8]

Останні тенденції регулювання в Гонконзі свідчать про те, що фінансові установи повинні створити комплексну рамку, що охоплює дані, технічну стійкість, управління та відповідальність, і керувати генеративним ШІ впродовж усього його життєвого циклу строго та з підтвердженням.

У практичному застосуванні це включає такі ключові моменти:

(Розрізнення сценаріїв використання) Необхідно уважно розрізняти різні сценарії розгортання. Внутрішні інструменти, застосунки клієнтів, інструменти моніторингу та відстеження, випадки підтримки прийняття рішень та сторонні моделі можуть викликати різні правові та ризикові аспекти; об’єднання їх у єдину категорію «використання ШІ» може бути недостатнім для виконання вимог;

(Головний напрямок управління) Організації повинні включити до сфери управління питання, які зазвичай описуються як чисто технічні (наприклад, проектування підказок, механізми пошуку, обробка виводу, перевірка моделей, пороги звітності та питання, пов’язані з людським контролем);

(Відповідність політиці) Інституції повинні відповідати своїм внутрішнім політикам термінології та пріоритетам, що вказані у гонконгських рекомендаціях, включаючи відповідальне застосування, справедливість, точність, прозорість, конфіденційність, відповідальність та реагування на інциденти;

(Регуляторна рівновага) Інституції повинні бути готові до звуження простору між підтримкою інновацій та регуляторним оглядом. Хоча участь у сендбоксах та інші регуляторні взаємодії можуть прискорити впровадження, вони також означають вищі вимоги до управління; та

(Комунікація з регуляторами) Участь у пісочницях та пілотних проектах повинна розглядатися як діяльність з підготовки до регулювання, а не лише як можливість для інновацій. Перед комунікацією з регуляторами організація повинна забезпечити чітке розподілення повноважень та процедур схвалення, наявність документованого тестування та верифікації (включаючи контроль відхилень та галюцинацій), чіткі умови для ручного аудиту та тригерів звітності, а також повний комплект доказових документів для перевірки.

Китайський материк: шлях до оперативного та регулятивного регулювання

Регуляторна рамка для генеративного ШІ в материковому Китаї постійно розвивається у бік більш практичної, регульованої та регуляторно орієнтованої підходу. Для фінансових установ практичні питання вже не обмежуються питанням, чи дозволено використовувати певний інструмент ШІ, а стосуються того, чи можуть фінансові установи довести, що відповідні випадки використання були відповідно класифіковані, зареєстровані при необхідності, супроводжувалися відповідним контролем даних і перебували під наглядом протягом усього свого життєвого циклу.

Це дуже важливо, оскільки регуляторні межі стають більш дрібними. Останні розвитки у сфері позначення контенту, створеного ШІ, реєстрації алгоритмів і моделей, оцінки безпеки, національних стандартів та управління даними у фінансовому секторі вказують на один напрямок: відповідність ШІ на материковому Китаї все більше зосереджується на реалізації доказів.

Методика ідентифікації контенту, згенерованого та синтезованого штучним інтелектом, опублікована спільно Державним управлінням інформаційного простору Китаю, Міністерством промисловості та інформатизації, Міністерством громадської безпеки та Державним адмініструванням радіо, кіно та телебачення, перетворює високорівневі вимоги до прозорості та управління на конкретні, практичні вимоги щодо позначення контенту та метаданих.

Суть цього методу полягає у подвійній системі позначення, яка вимагає одночасного впровадження:

a) Явне позначення, видиме для користувача; та

б) Вбудовування метаданих файлу для прихованого позначення з метою забезпечення відстежуваності.

Цей подвійний метод маркування відображає чіткі регуляторні очікування щодо прозорості для користувачів та необхідності забезпечення зворотного слідкування для регулювання, застосування закону та відповідальності. Важливо, що цей підхід також поширює відповідальність на всю ланцюжку цінності AI-контенту. Узагальнюючи:

Постачальники послуг генерації контенту повинні впроваджувати маркування контенту (включаючи явне та неявне маркування) на етапі генерації контенту, забезпечуючи точність та тривалість маркування, а також підтримувати можливість відстежуваності та відповідальності у випадку регуляторного огляду чи розслідування AI-згенерованого контенту;

Платформи поширення контенту повинні виявляти, зберігати та відображати існуючі позначки, додані до контенту, згенерованого ШІ, запобігати та врегульовувати намірне видалення, підробку або зловживання позначками, а також співпрацювати з регуляторними органами щодо нагляду, включаючи нагляд за відстежуванням та прослідковуванням контенту; та

Користувачі не повинні навмисно видаляти, змінювати, приховувати або підробляти явні позначки, навмисно змінювати неявні позначки або технічні ідентифікатори, не повинні неправдиво представляти AI-згенерований контент як створений людиною з метою введення в оману, а також не повинні використовувати синтетичний контент з метою уникнення відстежуваності або регулювання.

Цей метод поділяє підтверджені, можливі та підозрювані AI-згенеровані матеріали для підтримки відповідного управління та регулювання. Ці категорії не накладають загальних обов’язків щодо виявлення AI на платформах чи користувачах. Навпаки, вони визнають різні рівні впевненості щодо походження матеріалів, і обов’язок позначати інформацію стосується лише підтверджених AI-згенерованих матеріалів, створених регульованими сервісами генерації AI-контенту.

Загалом, цей метод відзначає перехід до моделі спільної відповідальності та життєвого циклу управління, де маркування контенту та його слідкування визначаються як базові контрольні заходи з управління ризиками синтетичного контенту в межах постійно розвиваючоїся регуляторної рамки материкового Китаю.

Хоча на операційному рівні все більше уваги приділяється анотації контенту та його відстежуваності, реєстрація алгоритмів та моделей залишається ключовим елементом регуляторної структури Штатів з мистецтвом ІІ в Китаї. Хоча відповідні законодавчі акти не зазнали значних змін у недавньому минулому, регуляторна практика та її реалізація продовжують розвиватися.

Нижченаведені спостереження варто особливо врахувати фінансовим установам:

1. Реєстрація алгоритмів та реєстрація моделей — це два незалежні, але можливість перетину регуляторні процедури. За виконання відповідних умов деякі постачальники послуг генеративного ШІ можуть нести обов’язок «подвійної реєстрації», що охоплює як рівень алгоритмів, так і рівень моделей.
2. Деякі застосунки фінансових послуг стикаються з більшою регуляторною невизначеністю. Регуляторний підхід до реєстрації моделей, пов’язаних із конкретними випадками використання фінансових послуг, все ще розвивається. Згідно з публічно доступними записами про реєстрацію, успішно затверджених випадків використання алгоритмів або моделей, які безпосередньо застосовуються для фінансової оцінки ризиків, кредитування або прийняття рішень щодо позик, або діяльності, що ґрунтується на ШІ, обмежено. У зв’язку з їх потенційним впливом на стабільність ринку та захист споживачів, такі випадки використання, схоже, підлягають більш строгому нагляду.
3. Деякі випадки використання, спрямовані на клієнтів, мають більш дозрілі тенденції реєстрації. Публічно доступна інформація про реєстрацію свідчить, що кілька алгоритмів і моделей, пов’язаних із клієнт-орієнтованими застосунками, отримали схвалення, наприклад, AI-сервіси підтримки клієнтів та асистенти, а також деякі AI-підтримувані інструменти для фінансового або цінних паперів аналізу. Варто зазначити, що такі випадки використання зазвичай характеризуються функціями генерації контенту або інформаційної підтримки, а не прямим прийняттям рішень чи виконання діяльності, пов’язаної з прийняттям ризику.

Останні регуляторні заходи показують, що отримання дозволу або реєстрація не вважається остаточним або статичним результатом. Для організацій, що надають послуги алгоритмічного рекомендування або генеративного ШІ, очікування поширюються на весь життєвий цикл системи. У разі виникнення правових або регуляторних умов (наприклад, зміна сценаріїв використання, функцій моделі, джерел даних, охоплення користувачів або каналів поширення) організації можуть бути зобов’язані провести додаткову оцінку безпеки, оновити наявну реєстрацію або активно зв’язуватися з регуляторами.

Цей тренд посилився через більш широкі ініціативи з виконання закону. У квітні 2025 року Національне управління інформаційних мереж Китаю запустило тримісячну національну спеціальну кампанію «Чистий інтернет: боротьба з неправомірним використанням технологій ШІ», під час якої регулятори вжили заходів щодо великої кількості некомпліантних продуктів ШІ та пов’язаного контенту. Це чітко свідчить про те, що компліантність у сфері ШІ тепер міцно вбудована у звичайну регуляторну діяльність, а не розглядається як виняткова або перехідна проблема. Нездатність забезпечувати постійну компліантність може збільшити ризик зустрічей з регуляторами, офіційних попереджень, вимог до виправлення порушень, адміністративних покарань та відповідних репутаційних ризиків.

Крім відмітки контенту, реєстрації та оцінки безпеки, ширші регуляторні межі генеративного ШІ на материковому Китаї постійно розширюються за обсягом і деталізацією. Останні регуляторні інструменти та політичні ініціативи свідчать про те, що регулятори поступово розширюють свою увагу з безпеки контенту та технічної відповідності на вплив поведінки, етичне управління та управління ризиками в залежності від сценаріїв, особливо у випадках з високим рівнем ризику.

Одним із важливих аспектів цієї еволюції є зростаюча взаємодія між управлінням генеративним ШІ, рамками етичного огляду технологій та вимогами до захисту персональних даних згідно з Законом про захист персональних даних. Хоча ці дві системи не є новими, їх застосування в контексті використання ШІ стає все більш помітним та практичним. Зокрема, коли системи ШІ стосуються обробки персональних даних, автоматизованого прийняття рішень або функцій, що можуть мати значний вплив на права особи, регулятори все частіше очікують, що організації оцінюватимуть не лише законність та безпеку, а й справедливість, пояснюваність та етичні ризики.

«Методика оцінки етичних аспектів та обслуговування штучного інтелекту (діє в пробному режимі)», опублікована в квітні 2026 року кількома відомствами, вказує, що деякі застосунки та розробки ШІ з високим рівнем ризику — зокрема ті, що стосуються чутливих персональних даних, втручання в поведінку або масштабного впливу на суспільство — можуть вимагати структурованої етичної оцінки або експертного аналізу в межах ширшого регуляторного каркасу. Необхідність такої оцінки залежить від конкретного випадку використання, типу даних та середовища розгортання і повинна оцінюватися окремо для кожного випадку.

Для фінансових установ прямий вплив цих заходів на дотримання норм може бути обмеженим. Однак ці розвитки мають важливе значення як сигнал щодо напрямку регулювання. Вони свідчать про те, що регулювання ШІ в материковому Китаї переходить від загальних зобов’язань до сценарійно-орієнтованих, функціонально-орієнтованих та спрямованих на вплив на користувача вимог. Управління генеративним ШІ все частіше очікується не лише з точки зору технічної стійкості, а й у контексті проектування взаємодії людина-машина, захисних заходів та механізмів оновлення.

Крім офіційних правових та адміністративних заходів, національні стандарти відіграють все більш важливу роль у формуванні очікувань щодо відповідності практиці використання ШІ. У сфері генеративного ШІ регуляторні органи вже опублікували кілька національних стандартів, які надають рекомендації щодо оцінки безпеки машинного навчання, позначення синтетичного контенту, безпеки навчальних даних та базових вимог до сервісів. Додаткові національні стандарти, пов’язані з безпекою ШІ як сервісу, оцінкою здатності до безпечного функціонування впродовж життєвого циклу та застосуваннями агентного ШІ, зараз розробляються.

Ці національні стандарти виконують функцію регуляторного масштабу, надаючи посібник для регуляторів щодо того, як оцінювати на практиці достатність заходів безпеки, механізмів управління та операційних контролів. З часом вони можуть відігравати все більш важливу роль у регуляторній та правоохоронній сферах, формуючи очікування щодо того, що вважається «відповідними» заходами безпеки для систем ШІ.

Паралельно з ініціативами з штучним інтелектом, регулювання фінансового сектору на материковому Китаї посилює очікування щодо управління даними та моделями, що безпосередньо впливає на розгортання генеративного ШІ. Зокрема:

a) Вимоги щодо безпеки даних та управління їхнім життєвим циклом посилюються. Згідно з «Методами управління безпекою даних у сфері діяльності Народного банку Китаю», опублікованими 1 травня 2025 року, фінансові установи повинні впроваджувати класифікацію та градацію даних, створювати та регулярно оновлювати перелік даних, визначати особисті, конфіденційні та важливі дані, розподіляти внутрішні обов’язки та застосовувати заходи з безпеки даних на всьому життєвому циклі; та

b) Управління моделями та централізований нагляд стають пріоритетами регулювання. У вересні 2025 року Національна адміністрація фінансового нагляду опублікувала «План реалізації високоякісного розвитку цифрових фінансів у банківській та страховій галузях», який закликає установи створювати корпоративні платформи для штучного інтелекту та управління моделями для підтримки централізованої розробки, розгортання та моніторингу моделей.

Загалом, ці регуляторні тенденції свідчать про те, що застосування ШІ у фінансовій галузі все частіше очікується зі структурованою моделлю управління життєвим циклом, чіткими точками ручного втручання та посиленою регуляцією постачальників та зовнішніх технологічних провайдерів. Отже, відповідність ШІ на материковому Китаї все більше збігається з встановленими нормами контролю фінансової галузі, з акцентом на зрілість управління, якість документації та готовність до регулювання.

Останні розвитки свідчать про те, що материкова Китай глибше реалізує регулювання ШІ. Макроконцепції, такі як безпека, прозорість та відповідальне використання даних, залишаються важливими, але тиск регуляторів все більше зосереджується на тому, як інституції на практиці документують, підтверджують та операціоналізують ці концепції.

Для фінансових установ у материковому Китаї впровадження ШІ має супроводжуватися структурованим управлінням, контролем життєвого циклу та обґрунтованими записами. Фінансові установи, які з самого початку включають аналіз реєстрації, управління даними, оцінку безпеки, управління ризиками моделей та регулювання постачальників у проектування та функціонування систем ШІ, будуть краще підготовлені до відповідального масштабування застосування ШІ.

Глобальний огляд: моніторинг, концентрація та залежність

За межами Гонконгу та Китаю, звіт Фінансової стабільності, опублікований у жовтні 2025 року під назвою «Моніторинг застосування ШІ у фінансовому секторі та пов’язаних з ним вразливостей» [9], підкреслює, що ШІ у фінансовому секторі — це не лише питання поведінки чи технологій, а й питання фінансової стабільності. У звіті особливо зазначається швидкий темп розвитку моделей ШІ, зростаюча залежність від третіх сторін, а також постійно змінюючіся ланцюги поставок, а також необхідність регуляторів моніторити застосування, ліквідувати прогалини у даних та розуміти вразливості, пов’язані з залежністю від третіх сторін та ризиками концентрації. Для інституцій це означає, що управління ШІ має поширюватися за межі етичних політик та документації моделей і включати аутсорсинг, операційну стійкість та ризики екосистеми. Наприклад: залежність від невеликої кількості постачальників базових моделей, хмарних платформ, постачальників даних та рівнів інтеграції ШІ; обмежена видимість джерел навчальних даних та циклів оновлення моделей; а також ризик того, що переривання роботи одного постачальника, зміна моделі чи безпекова подія одночасно вплинуть на кілька інституцій.

Регуляторна увага може поширюватися від виведення окремої моделі на більш широке середовище контролю, включаючи умови контрактів та права на аудит, управління змінами та контролем випуску, забезпечення неперервності бізнесу та альтернативне планування, переносимість даних, повідомлення про події та постійний моніторинг продуктивності та ризиків концентрації з боку третіх сторін.

Практичний вплив на фінансові установи

Поточна регуляторна обстановка не призвела до створення єдиного універсального списку. Юридичні та регуляторні очікування будуть відрізнятися залежно від галузі, бізнес-моделі, випадків використання, оперативного присутності та дизайну розгортання. Проте останні розвитки вказують на практичну програму, яку зараз повинні розглянути багато фінансових установ.

1. (Управління та нагляд) Рада директорів і вищий менеджмент повинні забезпечити наявність чіткої системи відповідальності, шляхів звітності та рамок схвалення для значущих випадків використання ШІ;
2. (Оцінка випадків використання) Організації повинні забезпечити, щоб випадки використання зі значним впливом отримували підсилене юридичне, компліантне, моделювання ризиків та технічне оцінювання;
3. (Дані та конфіденційність) Робочі процеси підказок, пошуку та навчання слід перевіряти в контексті ширшого управління даними та обов’язків щодо конфіденційності;
4. (Прозорість і обробка виводу) Інституції повинні перевірити, чи відповідають процедури розкриття інформації для клієнтів, інструкцій для співробітників, позначення виводу та контролю якості своїй меті;
5. (Ризики, пов’язані зі сторонніми та зовнішніми постачальниками): слід посилити ділова перевірка постачальників, контроль угод, планування альтернатив та постійний моніторинг; та
6. (Тестування, моніторинг та звітування про події) План тестування, документування, моніторингу моделей та звітування про події повинен бути пропорційний використанню.

Одиночна розгортання генеративного ШІ може стосуватися кількох аспектів, зокрема особистих даних, банківської таємниці, інтелектуальної власності, комунікацій із клієнтами, перевірки моделей, операційної стійкості, аутсорсингу та зберігання документів. Тому передавати ці питання лише одній команді інновацій чи технологій зазвичай недостатньо.

Також життєво важливою є людська наглядова діяльність. Для високоризикованих сценаріїв загальне згадування «циклу з участь людини» може бути недостатньо переконливим, якщо організація не зможе пояснити, коли потрібна перевірка, хто відповідає за перевірку, що повинні перевіряти перевіряючі, як перевірка фіксується, і коли відбувається зупинка або призупинення.

Спостереження за практикою керування ШІ у глобальних фінансових інституціях

На основі вибіркового, не вичерпного огляду практик керування ШІ в певних глобальних фінансових установах, ми робимо такі загальні спостереження. Зверніть увагу, що ці спостереження є високорівневими та ілюстративними. Не існує універсального підходу до керування ШІ; кожен фінансовий інститут зазвичай формує свою рамку, враховуючи комплекс факторів, включаючи застосовні регуляторні вимоги та очікування у відповідних юрисдикціях, організаційну структуру, схильність до ризику, етап технологічної зрілості та природу використання ШІ.

Формується загальна трьохрівнева система управління: багато організацій використовують спеціально розроблену для ШІ модель управління «три лінії захисту/три рівні». На операційному рівні випадки використання ШІ зазвичай пропонуються та розробляються окремими бізнес-відділами у розподіленому порядку. На середньому рівні організації зазвичай створюють мультифункціональні комітети (наприклад, комітет з управління ШІ або рада відповідального ШІ), до складу яких входять старші представники команд з ризиків, відповідності, даних, технологій та бізнесу, які відповідають за огляд, схвалення та моніторинг випадків використання ШІ. На найвищому рівні ради директорів або комітети на рівні ради (зазвичай існуючі комітети з ризиків або технологій, а не новостворені спеціалізовані ради директорів з ШІ) зберігають остаточний нагляд за стратегією, ризиками та управлінням ШІ.

Інституції зазвичай не розглядають керування ШІ як окрему структуру: натомість ШІ зазвичай інтегрується в існуючі структури керування, зокрема рамки керування моделевим ризиком, операційним ризиком, технічним керуванням та керуванням даними. Багато інституцій вважають моделі ШІ розширенням рамок керування моделевим ризиком, що дозволяє застосовувати до них подібні процеси верифікації, моніторингу та періодичного огляду, як і для традиційних моделей, одночасно адаптує ці процеси для вирішення специфічних для ШІ ризиків, таких як пояснюваність, упередженість та зсув моделі.

Сильна увага до внутрішніх принципів «відповідальної ШІ»: багато організацій розробили внутрішні принципи або стандарти управління ШІ як базові вимоги для всіх випадків використання ШІ. Хоча термінологія відрізняється, ці принципи зазвичай збігаються навколо таких спільних тем:

• Справедливість та уникнення упереджень або дискримінаційних результатів;
• Прозорість і пояснюваність виводів моделі та обмежень;
• Керування даними, конфіденційність та захист приватності; та
• Постійне тестування, моніторинг і перевірка продуктивності моделей.

Ці принципи все частіше реалізуються через внутрішні політики, рамки контролю та процеси схвалення, а не обмежуються лише декларативними заявами.

Міжфункціональне управління — це ключова характеристика: управління ШІ рідко обмежується лише однією функцією. Організації залучають багато зацікавлених сторін з команд з даних, технологій, юриспруденції, відповідності, ризиків та бізнесу. Для координації цих функцій, розробки спільних стандартів та забезпечення послідовності між різними випадками використання зазвичай створюються спеціалізовані комітети з управління ШІ або центри компетентності. У деяких організаціях централізована функція ШІ розробляє політики та інструменти для всієї групи, тоді як бізнес-підрозділи зберігають відповідальність за їх реалізацію.

Комітети з розгляду окремих випадків застосування ШІ не мають єдиної практики: хоча деякі організації створили формальні комітети для схвалення окремих випадків застосування ШІ, інші покладаються на існуючі процеси схвалення (наприклад, комітети з ризиків моделей або форуми технічних змін). У великих глобальних організаціях зазвичай прагнуть інтегрувати ШІ в існуючу інфраструктуру управління, а не створювати нові органи схвалення, що відображає погляд на те, що ризики ШІ слід керувати як частину загальної корпоративної системи управління ризиками.

Життєвий цикл управління отримує все більше уваги: управління ШІ не обмежується початковим схваленням. Організації все більше звертають увагу на повний цикл управління, що включає:

• Класифікація випадків та рівні ризиків;
• Тестування та перевірка перед розгортанням;
• Постійний моніторинг продуктивності та виявлення зсувів;
• Чіткі пороги ручного втручання та повідомлення; та
• Періодичний огляд, повторне навчання та виведення з експлуатації.

Це відображає більш широкий перехід від статичного контролю до постійного нагляду.

Ручне наглядання залишається ключовим механізмом контролю: усі організації визнають критичну важливість ручного наглядання, особливо для випадків з високим ризиком. Однак більш досконалі рамки вже пішли далі загальних понять «циклу людської участі», намагаючись точніше визначити, коли потрібна перевірка, хто відповідає за перевірку, які стандарти мають застосовуватися, а також як документувати та підтверджувати це.

Керування даними та пояснюваність моделей є пріоритетними областями уваги: установи загалом підкреслюють виклики, пов’язані з якістю даних, їх походженням та контролем доступу, а також пояснюваністю складних моделей. Ці аспекти часто розглядаються як ключові питання управління, а не лише технічні питання, особливо в регульованих середовищах фінансових послуг, де пояснюваність та аудитованість тісно пов’язані з регуляторними очікуваннями.

Керівні рамки постійно розвиваються залежно від випадків використання та регуляторних очікувань: більшість інституцій продовжують удосконалювати свої рамки керування ШІ. З розширенням випадків використання ШІ — особливо в галузях взаємодії з клієнтами, підтримки прийняття рішень та управління ризиками — керівні рамки вдосконалюються для вирішення нових ризиків, регуляторних змін та накопиченого досвіду. Тому керування ШІ слід розглядати як динамічну та постійно розвиваючуся галузь, а не як фіксовані рамки.

Загалом ці спостереження свідчать про те, що світ рухається до конвергенції інтегрованих, принципово-орієнтованих та орієнтованих на життєвий цикл рамок керування ШІ, які ґрунтуються на наявних інфраструктурах ризиків та контролю, але все більше адаптуються для вирішення унікальних характеристик і ризиків систем ШІ.

У цій статті «Гонконг» означає Гонконгський спеціальний адміністративний регіон Китайської Народної Республіки.