ISACA Blog | COBIT框架下的AI治理与优化实践指南

在数字时代,人工智能(AI)和机器学习(ML)正在成为创新的基石,企业面临有效治理这些技术的挑战。由ISACA开发的COBIT框架成为驾驭这一复杂环境的指南针。COBIT的原则最初是为信息和技术管理和治理量身定制的,可以巧妙地利用这些原则为组织内的AI系统提供支撑和指导。

例如,实现基于AI驱动的聊天机器人的企业可以使用COBIT框架来确保技术符合业务目标,遵守法律,并维护数据隐私和安全。通过遵循COBIT的指导方针,组织可以有效地管理和治理聊天机器人的开发、部署和操作,以最大限度地提高其效益,同时最大限度地降低风险。

使AI与业务目标保持一致

COBIT高度重视使信息和技术项目与业务目标保持一致。这一原则对于AI治理同样至关重要。通过确保AI项目与公司的战略目标相吻合,组织可以确保AI提供切实的好处,并与更广泛的业务愿景相协调。通过COBIT的结构化方法,企业可以确定利益相关者的需求,并制定涵盖治理、风险管理和合规性的战略计划。

这种方法有助于组织主动应对潜在风险并确保AI计划符合监管要求。通过遵循COBIT的指导方针,将AI与业务目标相结合,公司可以在有效地管理实施AI技术的复杂性的同时实现期望的结果。

绩效和风险管理

管理绩效是COBIT的核心强项,它自然延伸到AI治理领域。建立AI的指标,如准确性和公平性,便于客观跟踪进度和改进领域。此外,COBIT强大的风险管理流程可以适应AI,解决数据隐私、安全和算法偏差等潜在风险,并确保这些技术得到负责任的开发。

例如,实施AI以改进患者诊断的医疗保健组织可以使用COBIT的风险管理流程来确保患者数据隐私得到保护,网络安全措施到位,算法无偏见。通过遵循COBIT的指导方针,该组织可以自信地部署AI技术,同时最大限度地减少潜在风险,并确保遵守道德规范。当然,由于与人工智能相关的伦理问题的复杂性,即使遵循COBIT指导,偏见和侵犯隐私仍然可能发生,此外,可能有必要建立更全面的伦理框架。 

资源优化

资源的有效分配对于AI项目至关重要。COBIT的资源配置最佳实践确保计算能力、数据和人员得到有效利用,从而优化AI解决方案的开发和部署成本。此外,通过整合COBIT的资源优化指南,组织可以简化流程,并最大限度地提高AI项目的投资回报。这种资源管理的整体方法有助于减轻潜在风险,并提高AI治理的整体绩效。

例如,实现自然语言处理AI项目的公司可以使用COBIT的资源管理最佳实践来有效地分配计算能力,确保系统平稳高效地运行。通过优化数据存储和人员分配,组织可以最大限度地降低成本,并最大限度地提高AI解决方案对改善客户服务和运营效率的影响。

控制和合规

在AI治理中,调整COBIT的审计和控制目标至关重要。审计AI项目的数据质量、算法训练过程和偏见可以帮助组织保持高质量和合规性标准。此外,COBIT对透明度的强调促进了关于AI开发和使用的明确沟通文化,这是在组织内建立信任的必要因素。此外,实施定期审计和监测机制可以确保AI项目始终符合监管要求和行业标准。这种积极主动的方法可以帮助组织在任何潜在问题升级之前识别和解决它们,最终在AI治理中培养问责文化。

例如,使用AI进行欺诈检测的金融机构可以利用COBIT为数据隐私和安全措施制定明确的准则。通过定期对AI算法进行审计并监控其性能,该组织可以确保其符合GDPR等法规和PCI DSS等行业标准。这种积极主动的方法不仅保护客户数据,而且通过展示对道德AI实践的承诺,在利益相关者之间建立信任。

持续监控和改进

COBIT的MEA域代表着监控、评价和评估,对于AI系统的持续监督是不可或缺的。通过实施COBIT的监控流程,企业可以确保AI运营与公司目标保持一致,并符合道德和监管框架。

这种持续的监测允许及时进行调整,以响应不断变化的监管要求和行业标准,确保AI系统保持合规性和有效性。通过根据既定基准定期评估AI绩效,组织可以不断改进其治理实践,并维护利益相关者的信任。

面向AI治理的框架适应性

快速增长的AI领域的公司正在积极寻求利用其能力的方法,同时解决其带来的道德、运营和战略障碍。为AI开发特定的治理框架不仅是一种享受,也是一项基本要求。为了确保AI活动是负责和透明的,这一范式必须纳入AI特定因素,如道德研究、部署和持续监督。

企业应该利用COBIT及其治理和管理目标标准来实现这一点。这些建议提供了一个完整的框架,用于创建正确的程序,定义明确的角色和责任,并使用RACI(执行、负责、咨询和知情)矩阵等技术来确保AI项目是明确和可问责的。

COBIT在AI治理中的独特优势

COBIT框架可以为组织提供必要的工具来创建治理模型,该模型不仅解决了AI的复杂性,还与企业的总体战略方向保持一致。它是关于协调利益实现、风险优化和资源优化与AI和机器学习的创新潜力。

通过根据AI的独特需求调整COBIT的既定信息和技术治理实践,组织可以形成一个强大的治理框架,推动AI从一项新兴技术发展到成熟、负责且能为业务带来增值的组成部分。

作者:Gokhan Polat,Averest战略与业务发展负责人及Databulls联合创始人

翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA大中华区专家,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向

校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC,ISACA微信公众号特邀通讯员,华侨银行信息安全和数字化风险经理。