Die eigentliche Frage zur KI-Governance

Führungskräfte buchstäblich jedes Fortune-500-Unternehmens werden Ihnen sagen, dass sie ihre KI regulieren – jeder einzelne von ihnen. Fragen Sie nun dieselben Führungskräfte, wer dafür verantwortlich ist, ein KI-Modell abzuschalten, das Schaden verursacht. Die meisten Menschen können diese Frage nicht beantworten.

Dieses Schweigen ist die wichtigste Geschichte in der Unternehmens-Technologiebranche derzeit, und es wird selten, wenn überhaupt, thematisiert.

In den letzten Jahren ist eine Governance-Branche rund um künstliche Intelligenz leise gewachsen. Unternehmen haben Register aufgebaut, um ihre KI-Modelle zu katalogisieren. Sie haben Klassifizierungssysteme implementiert, um ihre Daten zu kennzeichnen. Sie haben Dashboards eingerichtet, um das Modellverhalten zu überwachen, und Risikoräte, um neue Bereitstellungen zu überprüfen. Sie haben Richtlinien verfasst, Compliance-Beauftragte eingestellt und Folien für ihre Vorstände präsentiert. Die Infrastruktur der Governance hat sich vervielfacht.

Was fehlt, ist der Regulierer.

Wer kann ein KI-Modell abschalten?

Ich leite die KI- und Daten-Governance bei Adobe. Meine Aufgabe ist es, genau die Art von Programm aufzubauen, die jedes Unternehmen jetzt angeblich zu haben behauptet. Und was ich von innen heraus gelernt habe, während ich mich die Hände schmutzig gemacht habe, ist, dass der schwierige Teil nie die Technologie ist. Der schwierige Teil ist eine Frage, die fast beleidigend einfach klingt: Wenn ein KI-Modell etwas tut, was es nicht tun sollte, wer hat die Autorität, es zu stoppen?

Die Frage ist nicht, wer benachrichtigt wird. Es ist nicht, wer den Vorfallbericht schreibt. Es ist, wer die Autorität, die organisatorische Stellung und ehrlich gesagt die Arbeitsplatzsicherheit hat, in ein Meeting zu gehen und zu sagen: „Wir schalten das ab.“

In den meisten Unternehmen existiert diese Person entweder nicht oder ist ein Papiertiger, der organisatorisch von den Entwicklungsteams getrennt ist. Rollen wie Chief AI Ethics Officers und Gruppen wie Data Governance Councils und verantwortungsvolle KI Teams sind völlig notwendig, aber lediglich beratend. Sie können kennzeichnen. Sie können empfehlen. Sie können eskalieren. Was sie im Allgemeinen nicht können, ist den Stopp-Knopf zu drücken. Die tatsächliche Entscheidungsbefugnis liegt woanders. In den meisten Fortune-500-Unternehmen liegt sie in der Regel bei jemandem, dessen Hauptaufgabe darin besteht, Produkte auszuliefern und Umsatzziele zu erreichen, und der jeden Anreiz hat, die Governance-Kennzeichnung als nebensächlich statt als verbindlich zu behandeln.

Dies ist keine Kritik an Einzelpersonen; es ist eine Beschreibung eines strukturellen Problems, das die Governance-Branche weitgehend ignoriert hat, weil die Governance-Branche Werkzeuge verkauft, nicht Verantwortlichkeit.

Diese Werkzeuge sind wirklich nützlich und entscheidend für die Einhaltung gesetzlicher Vorschriften und eine effektive Governance. Ein Modellregister sagt Ihnen, welche KI-Systeme existieren und was sie tun. Ein Risikoklassifizierungsrahmen sagt Ihnen, welche die meiste Prüfung verdienen. Ein Datenherkunftssystem sagt Ihnen, woher die Eingaben kamen und ob sie sauber waren. All dies ist reale und wichtige Infrastruktur. Aber es ist Infrastruktur für Sichtbarkeit, nicht Infrastruktur für Handeln.

Sie können perfekte Sichtbarkeit in ein Problem haben und keinen Mechanismus, es zu lösen. Sie müssen etwas sehen, um etwas zu tun, aber Sie müssen auch den Schlauch aufheben, um ein Feuer zu löschen.

Stellen Sie es sich so vor: Ein Feueralarm ist keine Feuerwehr. Sie können jeden Raum in Ihrem Haus verkabeln, pflichtbewusst jährlich die Batterie jedes Rauchmelders wechseln und jede Warnung an ein schönes Dashboard weiterleiten – und trotzdem Ihr Haus niederbrennen lassen, weil niemand den Schlauch aufgehoben hat. Ja, es ist entscheidend zu wissen, dass das Haus brennt – sonst wüssten Sie nicht, dass Sie einen Schlauch brauchen. Aber Sie brauchen jemanden, der der Feuerwehr sagt, sie solle handeln.

Bei Adobe haben wir dies angegangen, indem wir ein föderiertes Governance-Modell mit benannten Eigentümern für jedes KI-System und einem zentralen Lenkungsausschuss mit Eskalationsbefugnis geschaffen haben, der an die Vertrauens- und Sicherheitsorganisation berichtet, nicht an das Produktteam. Das war die entscheidende Designentscheidung, die wir getroffen haben: der Governance eine Berichtslinie zu geben, die unabhängig von den Teams ist, die KI-Produkte ausliefern. Dies ist wesentlich, damit die Person, die „Nein“ zu einer KI-Entscheidung sagen kann, nicht der Person berichtet, die davon profitiert, „Ja“ zum Ausliefern von Produkten zu sagen.

Warum Dringlichkeit erforderlich ist

Die Einsätze steigen hier schnell. Das KI-Gesetz der Europäischen Union ist jetzt in Kraft, und es verlangt nicht von Unternehmen, dass sie nachweisen, dass sie Dashboards haben. Es verlangt von ihnen, dass sie nachweisen, dass sie eine sinnvolle Governance haben. Es erfordert dokumentierte Entscheidungsfindung, klare Verantwortlichkeiten und die Fähigkeit, im Nachhinein zu zeigen, wer eine folgenreiche Entscheidung über ein KI-System getroffen hat und warum. Wenn Regulierungsbehörden diese Fragen stellen, reichen ein Richtliniendokument und ein Risikoregister nicht als ausreichende Antworten. Regulierungsbehörden wollen einen Namen.

Der dringende Bedarf an Governance wird durch die Geschwindigkeit der KI-Bereitstellung verstärkt. Die meisten großen Unternehmen betreiben jetzt hunderte von KI-Systemen in ihren Organisationen, an Orten, von denen Führungskräfte möglicherweise nicht einmal wissen. Sie werden KI-Tools im Kundenservice, bei der Einstellung, der Inhaltsmoderation, der Preisgestaltung, der Betrugserkennung und überall dort finden, wo gutmeinende Mitarbeiter einfach versuchen, ihr Leben zu erleichtern. Viele dieser Systeme wurden schnell, unter Druck, bereitgestellt, wobei Governance als etwas behandelt wurde, das von einem zukünftigen Ich geregelt werden sollte. Die Zeit für das zukünftige Ich ist gekommen.

Die Antwort ist nicht, die KI-Einführung zu verlangsamen. Es ist, die Frage der organisatorischen Gestaltung genauso ernst zu nehmen wie die technische. Jedes KI-Governance-Programm sollte in der Lage sein, drei Fragen zu beantworten: Wer hat die Autorität, ein Modell zu stoppen? Weiß diese Person, dass es ihre Aufgabe ist? Und hat sie die Stellung, diese Autorität auszuüben, wenn sie mit dem Fahrplan einer anderen Person in Konflikt gerät?

Wenn Ihr Unternehmen diese Fragen nicht beantworten kann, haben Sie kein Governance-Programm. Sie haben Papierkram.

Die Unternehmen, die die nächsten fünf Jahre der KI-Regulierung und öffentlichen Prüfung meistern werden, sind nicht unbedingt diejenigen mit den ausgefeiltesten Werkzeugen. Es sind die Unternehmen, die die härtere, weniger glamouröse Arbeit geleistet haben, eine menschliche Verantwortungsstruktur aufzubauen, die unter der Technologie sitzt.

Diese Organisationen sind diejenigen, die einen KI-Governor ernannt haben, ihm echte Autorität verliehen haben und klargestellt haben, dass seine Aufgabe nicht darin besteht, die KI-Bereitstellung zu erleichtern, sondern sie verteidigbar zu machen. Diese Organisationen haben ein föderiertes Team, das befugt ist, zu identifizieren, zu beheben und zu eskalieren, und sie wissen, dass die Eskalation ein Ziel erfordert. Das bedeutet eine Governance-Funktion mit einer direkten Verbindung zur Führungsebene, unabhängig von den Produktteams, die KI ausliefern, mit der ausdrücklichen Befugnis, eine KI-Bereitstellung zu stoppen.

Jedes Unternehmen behauptet, seine KI zu steuern. Die eigentliche Frage, die Governance von Theater trennt, ist einfacher als jedes Framework. Fragen Sie sich selbst: Wer in meiner Organisation kann „Nein“ sagen und hat die Autorität, es auch ernst zu meinen?