KI-Governance über den gesamten Lebenszyklus hinweg

KI-Steuerung ist ein kontinuierlicher Prozess, der den gesamten Lebenszyklus eines KI-Assets umfasst, von anfänglicher Nachfrage und Aufnahme über Bereitstellung, Überwachung und Wertrealisierung. Sie können verwenden KI-Kontrollstelle(AICT) und KI-Risiko und -Compliance(AIRC) Anwendungen zusammen, um einen koordinierten Ansatz für die KI-Governance von Unternehmen zu unterstützen.

AICT bietet zentrale Transparenz und Lebenszyklusstatusverwaltung für KI-Initiativen in der gesamten Organisation. AIRC bietet Risiko-, regulatorische und ethische Governance-Fähigkeiten, mit denen Organisationen bewerten können, ob KI-Systeme verantwortungsvoll und ethisch entwickelt und betrieben werden.

Wenn ein neues KI-System eingeführt oder ein vorhandenes System erheblich aktualisiert und für Governance registriert wird, tritt es in einen kontrollierten Lebenszyklus ein. Dieser Lebenszyklus umfasst Aufnahme, Bewertung, Build, Überprüfung, Bereitstellung, und Überwachung. Governance-Aktivitäten über diesen Lebenszyklus hinweg helfen Organisationen, Risiken zu verstehen, geeignete Kontrollen anzuwenden und fundierte Bereitstellungsentscheidungen zu treffen.

Im Rahmen dieses Lebenszyklus werden KI-Systeme normalerweise Auswirkungsbewertungen und Risikobewertungen unterzogen, um das regulatorische Risiko, ethische Überlegungen und das Betriebsrisiko zu bewerten. Die Bewertungsergebnisse informieren sich über die Risikoklassifizierung, die erforderlichen Steuerungen und die Überprüfung der Weiterleitung. Während der Entwicklung konzentriert sich die Governance auf Kontrollnachweis, Problemmanagement und Richtlinienausnahmemanagement aus Risiko- und Compliance-Perspektive.

Vor der Bereitstellung werden KI-Systeme überprüft, um sicherzustellen, dass die erforderlichen Bewertungen abgeschlossen sind. Offene Probleme und Richtlinienausnahmen müssen gelöst oder offiziell akzeptiert werden, und die Restrisikosituation des Systems muss verstanden werden. Basierend auf dieser Überprüfung kann das KI-System für die Bereitstellung genehmigt, zur Korrektur zurückgegeben oder vom Release blockiert werden.

Nach der Bereitstellung wechseln KI-Systeme in eine operative Überwachungsphase. Die laufende Governance-Überwachung trägt dazu bei, Transparenz in neu auftretende Risiken, Änderungen bei der Nutzung und sich entwickelnde Compliance-Anforderungen zu erhalten. Bedeutende Changes oder Incidents erfordern möglicherweise Governance-Aktivitäten, um in frühere Lebenszyklusphasen zurückzukehren.

Durch die Anwendung einer konsistenten Governance über den gesamten KI-Lebenszyklus hinweg können Organisationen den Einblick in die KI-Nutzung zentralisieren und KI-Initiativen an der Geschäftsstrategie ausrichten. Dieser Ansatz hilft Organisationen auch, Risiken für interne und Drittpartei-KI zu bewerten und zu verwalten und skalierbare Bereitstellung mit kontinuierlicher Aufsicht zu unterstützen.

Die Behandlung von AICT und AIRC als koordiniertes Governance-Framework ermöglicht eine konsistente Aufsicht über alle Lebenszyklusprozesse, vom Bedarf über die Wertrealisierung und den Lebenszyklusabschluss.

Zusammenfassend können Sie jede Anwendung wie folgt verwenden:

• AICT verwaltet den KI-Lebenszyklus und dient als Datensatzsystem.

  Weitere Informationen finden Sie unter AI Control Tower Home, AI asset lifecycle und Exploring AI Control Tower.

• Der AIRC führt eine unabhängige Risiko-, Regulierungs- und Steuerungsregierung durch.
• Der Lebenszyklus-Fortschritt in AICT hängt von Risiko- und Compliance-Entscheidungen ab, die in AIRC getroffen werden.

  Weitere Informationen darüber, wie diese Informationen in AICT angezeigt werden, finden Sie unter Risk and compliance tab in AI Control Tower.

• Keine der Anwendungen ersetzt die andere; zusammen unterstützen sie ein koordiniertes Governance-Framework.

KI-Governance-Rollen und -Verantwortlichkeiten

Der KI-Governance-Lebenszyklus umfasst verschiedene Rollen mit klar getrennten Verantwortlichkeiten für AICT und AIRC.

KI-Asset-Besitzer [sn_ai_asset_mgmt.ai_asset_owner] (auch als Produktbesitzer bezeichnet) sind für KI-Systeme, -Modelle und -Datensätze als KI-Assets verantwortlich. Sie initiieren die Aufnahme und stellen während der Bewertung Geschäftskontext bereit.

KI-Asset-Besitzer autorisieren Bereitstellungs- und Stilllegungsentscheidungen. Diese Entscheidungen unterliegen der entsprechenden Risiko- und Compliance-Genehmigung. Besitzer von KI-Assets besitzen auch Ergebnisse wie Wertrealisierung und Lebenszyklusabschluss.

KI-Risiko- und Compliance-Manager [sn_grc_ai_gov.ai_risk_and_compliance_manager] bieten unabhängige Risiko- und regulatorische Aufsicht. Sie initiieren und überwachen Impact- und Risikobewertungen, bestimmen die Risikoklassifizierung, validieren die Kontrollimplementierung und genehmigen oder blockieren den Lebenszyklus-Fortschritt.

Geschäftsanwender für KI-Risiko und -Compliance [sn_grc_ai_gov.ai_risk_and_compliance_business_user] und KI-Verwalter [sn_ai_governance_ai_steward] führen Governance-Aktivitäten aus. Diese Rollen tragen zu Bewertungseingaben bei, führen zugewiesene Aufgaben wie Kontrollnachweise aus und unterstützen die Korrektur und das Problemmanagement. Sie helfen auch, Bestandsdatensätze während des gesamten Lebenszyklus genau zu halten.

Andere Governance-Stakeholder wie Sicherheits-, Rechts-, Datenschutz- oder Daten-Governance-Teams nehmen nach Bedarf teil. Sie tragen bei Bewertungs-, Überprüfungs- und Untersuchungsaktivitäten Fachwissen bei. Diese Stakeholder besitzen keine Lebenszyklusentscheidungen.

Weitere Informationen zu Rollen in AICT und AIRC finden Sie unter Mit KI-Risiko und -Compliance installierte Rollen Und AI Control Tower roles.

KI-Governance-Lebenszyklusphasen und -Prozesse

Diese Phasen beschreiben KI-Governance-Aktivitäten auf konzeptioneller Ebene und können mehrere Workflow-Schritte innerhalb von AICT und AIRC umfassen.

Bedarf: Aufnahme oder Onboarding

Der Lebenszyklus beginnt mit der Aufnahme, bei der neue KI-Anwendungsfälle, Erweiterungen und Ideen für die Governance übermittelt werden. Die Aufnahme richtet einen zentralen Einstiegspunkt ein, um den Zweck, den Umfang, die beabsichtigten Ergebnisse und den Nutzungskontext eines KI-Systems zu erfassen. Diese Phase bietet frühzeitig Einblick in den KI-Bedarf, sodass Organisationen potenzielle Risiken, Duplizierungen oder Fehlausrichtungen identifizieren können, bevor die Entwicklung beginnt.

Jedes Teammitglied mit den Geschäftsrollen „KI-Asset-Besitzer“, „KI-Verwalter“ oder „AIRC“ kann aufnahmebezogene Informationen mit einer Aufnahmeanforderung übermitteln Mitarbeiter-Center Um zu bestimmen, ob eine KI-Initiative basierend auf ihrer Absicht, ihrem Umfang und ihrer organisatorischen Ausrichtung in den gesteuerten Lebenszyklus eintreten soll. Wenn Sie über die Rolle „KI-Asset-Besitzer“ oder „KI-Verwalter“ verfügen, können Sie Aufnahmeanforderungen mit überprüfen und bearbeiten KI-Kontrollstelle Arbeitsbereich, nachdem sie über übermittelt wurden Mitarbeiter-Center.

Weitere Informationen zu Aufnahmeanforderungen in AIRC und AICT finden Sie unter Aufnahmeanforderungen, Einen KI-Anwendungsfall anfordern, Ein KI-Modell anfordern, Und Datensatz anfordern.

Während der Aufnahme werden Folgendes erstellt oder erforderlich: Eine KI-Aufnahmeanforderung, ein anfänglicher KI-Systemdatensatz und Geschäftskontext für die KI-Initiative.

Alle Aufnahme von KI-Anwendungsfällen, einschließlich interner und externer KI-Anwendungsfälle, wird in verwaltet KI-Kontrollstelle Anwendung. KI-Kontrollstelle Ist erforderlich, um KI-Systeme und Anwendungsfälle zu registrieren, die in den gesteuerten KI-Lebenszyklus eintreten müssen, und fungiert als Datensatzsystem für die Lebenszyklusverfolgung und Portfoliopransparenz.

AIRC besitzt keine KI-Anwendungsfallaufnahme. Wenn Sie AIRC haben, können Sie nach der Aufnahme teilnehmen, indem Sie den Kontext für Risiko- und Compliance-Governance beitragen, z. B. Auswirkungsbewertungen und regulatorische Evaluierung, sobald ein KI-Anwendungsfall in AICT registriert wurde.

Verwenden Sie Mitarbeiter-Center Um einen KI-Anwendungsfall zur Überprüfung anzufordern oder mithilfe von AICT ein KI-Asset direkt als Teil des genehmigten Onboarding durch einen Erfüller hinzuzufügen. Weitere Informationen finden Sie unter Create AI system assets, Create an AI case in the AI Control Tower, Create AI model assets, Create prompt assets, Und Create dataset assets.

Verbesserungsanforderungen, Ideen und Feedback können übermittelt und verwaltet werden, wenn Strategisches Portfoliomanagement Ist installiert. Verbesserungsanforderungen, Ideen und Feedback gelangen nicht über AICT oder AIRC in den KI-Governance-Lebenszyklus. Weitere Informationen zu Strategisches Portfoliomanagement finden Sie unter Strategic Portfolio Management.

Hinweis:

Eine Aufnahmeanforderung stellt einen Vorschlag zur Einführung oder Steuerung eines KI-Anwendungsfalls dar. Durch das Senden einer Aufnahmeanforderung wird kein KI-Asset erstellt oder bereitgestellt. Nach der Aufnahmeüberprüfung können KI-Systeme, -Modelle und -Datensätze im Rahmen des genehmigten Onboarding und der Lebenszyklusinitiierung in AICT registriert werden. Während der Aufnahme ausgewählte KI-System- oder -Modellkategorien (z. B. agentenbasiert oder generativ) bieten nur beschreibenden Kontext. Lebenszyklus-Fortschritt, Bewertungsanforderungen und Governance-Entscheidungen werden von Risikoklassifizierung, Bewertungsergebnissen und konfigurierten Governance-Regeln gesteuert, nicht von der Kategorieauswahl.

KI-Asset-Bestand und -Discovery ist eine lebenszyklusweite Fähigkeit, die in der Bedarfsphase beginnt und in allen Phasen des gesteuerten KI-Lebenszyklus beibehalten wird. Im Rahmen der Aufnahme und des genehmigten Onboarding KI-Systeme, Modelle, Datensätze, Prompts und zugehörige Artefakte werden registriert oder erkannt und in einem zentralen KI-Bestand aufgezeichnet.

Der KI-Asset-Bestand bietet eine autorisierende Ansicht von KI-Assets im gesamten Unternehmen, einschließlich intern entwickelter KI und KI von Drittparteien. Bestandsdatensätze bleiben von der Aufnahme über die Bereitstellung und Außerbetriebnahme bestehen, was Rückverfolgbarkeit, Transparenz und Governance ermöglicht, wenn Assets durch Lebenszyklusworkflows vorankommen.

KI-Assets können dem Bestand durch manuelle Registrierung während der Aufnahme und des Onboarding sowie durch automatisierte Discovery mithilfe konfigurierter Integrationen mit unterstützten Cloud- und Drittanbieterplattformen hinzugefügt werden. Erkannte Assets und Beziehungen werden von KI-Asset-Besitzern und KI-Verantwortlichen überprüft und abgeschlossen, um die Genauigkeit des Bestands und die Bereitschaft zur Governance sicherzustellen.

AICT besitzt und verwaltet den KI-Asset-Bestand und fungiert als Datensatzsystem für KI-Asset-Datensätze, Beziehungen und Lebenszyklusstatus. AIRC verbraucht Bestandsdaten für nachgelagerte Governance-Aktivitäten wie Auswirkungsbewertungen, Risikoklassifizierung, Kontrollbewertung und regulatorisches Reporting, erstellt oder besitzt jedoch keine Bestandsdatensätze.

Hinweis:

Automatisierte Discovery erfordert die Konfiguration unterstützter Integrationen. Weitere Informationen zur KI-Discovery in Unternehmen und zur automatisierten Bestandserfassung finden Sie unter AI connections Und AI connections setup.

Erstellen und validieren: Bewerten

Während dieser Phase werden Governance-Aktivitäten über Lebenszyklus-Playbooks ausgeführt. Playbooks werden an KI-Asset-Datensätze in AICT angehängt und definieren erforderliche Bewertungsaufgaben, Genehmigungen und Übergaben für alle Governance-Rollen. Lebenszyklus-Playbooks koordinieren erforderliche Aufgaben und Übergaben in den AICT- und AIRC-Anwendungen.

Lebenszyklus-Playbooks führen die folgenden Rollen durch den Bewertungsprozess:

KI-Verantwortliche initiieren und verwalten die Bewertungsphase in AICT, indem sie Lebenszyklusüberprüfungen starten, Playbook-Aufgaben zuweisen und den gesamten Lebenszyklus-Fortschritt in KI-Systemen überwachen.

KI-Asset-Besitzer stellen Systemdetails und Geschäftskontext in AICT bereit und schließen erforderliche Bewertungen (z. B. Auswirkungs- oder Risikobewertungen) anhand von Informationen ab, die im KI-Asset-Bestand erfasst wurden.

AIRC-Analysten führen Governance-Evaluierungen in AIRC durch. Diese Evaluierungen umfassen regulatorische Auswirkungsbewertungen, Risikoklassifizierung und Identifizierung erforderlicher Kontrollen basierend auf System- und Geschäftsinformationen von AICT.

AIRC-Manager überprüfen Bewertungsergebnisse in AIRC, bestimmen, ob identifizierte Risiken akzeptabel sind, und genehmigen erforderliche Kontrollen oder Minderungen, bevor das KI-System im Lebenszyklus voranschreiten kann.

Während der gesamten Bewertungsphase koordiniert AICT die Aufgabenausführung, Genehmigungen und Statusübergänge zwischen AICT und AIRC, um Transparenz darüber zu erhalten, ob erforderliche Bewertungen vor dem Verlauf des Lebenszyklus abgeschlossen werden.

Während der Bewertung werden Folgendes erstellt oder aktualisiert: Auswirkungsbewertungsergebnisse, Risikoklassifizierung, identifizierte Risiken und empfohlene Steuerungen. Diese Ergebnisse bestimmen, ob das KI-System mit der nächsten Lebenszyklusphase fortfahren kann.

Weitere Informationen finden Sie unter Playbooks, Führen Sie eine Auswirkungsbewertung für einen KI-Anwendungsfall durch und Führen Sie Risikobewertungen für KI-Systeme durch.

Erstellen und validieren: Erstellen und testen

In der Build- und Testphase wird Governance während der Entwicklung angewendet, indem sichergestellt wird, dass während der Bewertung identifizierte Risiken durch definierte Steuerungen, Korrekturaktivitäten und Validierungsschritte behandelt werden.

Playbooks dienen weiterhin als Anleitung für Aktivitäten zur Korrektur, Kontrolle von Nachweisen und Nachweissammlung während des Builds und Tests, wobei der Lebenszyklus-Fortschritt vom Abschluss der erforderlichen Governance-Aufgaben abhängig ist.

AICT verwaltet weiterhin den Lebenszyklusstatus und verfolgt den Fortschritt der Governance. AIRC validiert, dass erforderliche Kontrollen implementiert sind und dass Probleme oder Ausnahmen während des gesamten Lebenszyklus dokumentiert und behandelt werden.

Besitzer von KI-Assets und Entwicklungsteams implementieren erforderliche Steuerungen und Korrekturaktivitäten. AIRC-Geschäftsanwender und -Analysten überprüfen Kontrollnachweise und übermittelten Nachweise, um zu validieren, dass die erforderlichen Kontrollen implementiert sind und wie beabsichtigt funktionieren.

Kontrollnachweise können in mehreren Phasen des Lebenszyklus auftreten, einschließlich während der Bewertung, des Builds und der Validierung und des Offboarding. Der Abschluss von Kontrollnachweisen trägt zur Governance-Bereitschaft bei, genehmigt jedoch nicht allein die Bereitstellung.

AIRC-Manager überprüfen, ob erforderliche Kontrollen und Korrekturaktionen implementiert und effektiv sind.

Während der Validierung werden die folgenden Datensätze erstellt oder aktualisiert: Kontrollnachweise, Problemdatensätze, Korrekturnachweise und Ausnahmedatensätze.

Weitere Informationen finden Sie unter Verwalten Sie Steuerungen mit KI-Risiko und -Compliance, Erstellen Sie Kontrollnachweise für KI-Asset und Beheben Sie ein Problem in KI-Risiko und -Compliance.

Erstellen und validieren: Überprüfung vor der Bereitstellung

Vor der Bereitstellung werden KI-Systeme vor der Bereitstellung überprüft, um sicherzustellen, dass die erforderlichen Bewertungen abgeschlossen sind, Probleme und Ausnahmen mit hoher Priorität behandelt werden und Restrisiken verstanden und dokumentiert werden.

AICT verwaltet das Lebenszyklusstor vor der Bereitstellung. Der AIRC führt eine abschließende Governance-Überprüfung durch, um die Bereitstellungsbereitschaft basierend auf der Risikosituation, der Kontrollimplementierung und dem Restrisiko zu bestimmen.

Während der Überprüfung vor der Bereitstellung zeigen Playbooks die Bereitschaft zur Governance an, indem sie den Bewertungsabschluss, den Kontrollstatus, offene Probleme und das dokumentierte Restrisiko anzeigen. Playbooks genehmigen die Bereitstellung nicht. Genehmigungs- oder Ablehnungsentscheidungen werden von AIRC-Managern getroffen und werden im von AICT verwalteten Lebenszyklusstatus berücksichtigt.

AIRC-Manager genehmigen oder blockieren die Bereitstellung basierend auf der Bereitschaft zur Governance und dem Restrisiko.

Governance-Entscheidungen werden in AIRC getroffen, während Änderungen des Lebenszyklusstatus in AICT aufgezeichnet und erzwungen werden.

Weitere Informationen finden Sie unter Overview tab in AI Control Tower und Registerkarte „Risiko und Compliance“.

Bereitstellen, überwachen und bewerten Sie den Wert: Überwachen

Nach der Bereitstellung überwachen Governance-Aktivitäten KI-Systeme auf gemeldete Ereignisse, operative Changes und Governance-Signale. Diese Aktivitäten unterstützen ein effektives Risikomanagement und die Reaktion auf neu auftretende Risiken durch Bewertungen, Überprüfungen und regulatorische Updates. Die kontinuierliche Überwachung hilft Organisationen, neu auftretende Risiken frühzeitig zu identifizieren und nach der Bereitstellung eine auditierbare Governance-Situation aufrechtzuerhalten.

Die laufende Überwachung kann Governance-Ereignisse generieren, die eine Untersuchung oder eine formelle Entscheidungsfindung erfordern. Das KI-Fallmanagement unterstützt diese ereignisgesteuerten Governance-Aktivitäten, indem es Untersuchungen, Ausnahmebehandlung, Dokumentation und Neubewertungen ermöglicht, ohne die Kontinuität des Lebenszyklus zu unterbrechen.

KI-Fallmanagement ist eine lebenszyklusübergreifende Fähigkeit in AIRC, die Untersuchungen, Ausnahmebehandlung und regulatorische Reaktion unterstützt, ohne die Lebenszyklusphase des KI-Systems zu ändern, es sei denn, Governance-Entscheidungen erfordern dies.

AICT verfolgt Lebenszyklusstatus und Betriebssignale. AIRC verwendet Überwachungsausgaben, um zu identifizieren, wann eine Neubewertung, Steuerungsaktualisierungen oder Governance-Interventionen erforderlich sind.

AIRC-Manager bestimmen basierend auf Betriebs- oder Governance-Signalen, ob Changes, Neubewertungen oder Eingriffe erforderlich sind. Fälle und Anfragen sind ein normaler Teil der laufenden KI-Governance und deuten nicht unbedingt auf Fehler oder Nichteinhaltung hin.

Weitere Informationen finden Sie unter AI cases tab in AI Control Tower, KI-Fälle und -Anfragen und Tab „Vorgänge“.

Stellen Sie den Wert bereit, überwachen Sie ihn und bewerten Sie ihn: Wert

Der Wertprozess konzentriert sich auf die Messung von Akzeptanz, Leistung und Ergebnissen, um zu verstehen, ob KI-Initiativen den erwarteten Geschäftsnutzen und die strategischen Auswirkungen bieten. Durch die Messung des Werts können Unternehmen anhand von Risiko- und Compliance-Prüfungen bestimmen, ob das kontinuierliche Risiko von KI-bezogenen Risiken durch realisierte Geschäftsergebnisse gerechtfertigt ist.

AICT erfasst Wert-, Akzeptanz- und Ergebnismetriken und ordnet sie während des gesamten Lebenszyklus KI-Systemen und Anwendungsfällen zu.

KI-Asset-Besitzer bestimmen basierend auf den gemessenen Ergebnissen und dem Geschäftsnutzen, ob das KI-System erhalten, erweitert, angepasst oder stillgelegt werden soll. AIRC-Manager bestätigen, dass das laufende Risiko im Rahmen dieser Entscheidung akzeptabel bleibt.

Die Wertmessung informiert über die laufende Risikoakzeptanz und hilft, das weitere Risiko KI-bezogener Risiken zu begründen.

In AICT erfasste Wertergebnisse können für verfügbar gemacht werden Strategisches Portfoliomanagement Dient dazu, umfassendere Entscheidungen über die Planung, Finanzierung und Priorisierung einzelner KI-Assets hinaus zu treffen.

Während der Überwachung identifizierte Governance-Aktionen können zu Neubewertungen, zusätzlichen Steuerungen oder Lebenszyklusstatusaktualisierungen führen, die über AICT verwaltet werden.

Weitere Informationen finden Sie unter Value tab in AI Control Tower, Adoption tab in AI Control Tower und KI-Risiko-Heatmap-Workbench.

Lebenszyklusabschluss: Stilllegen und Offboarding durchführen

KI-Governance umfasst Lebenszyklusabschluss. KI-Systeme, -Modelle und -Datensätze können außer Kraft gesetzt oder außer Kraft gesetzt werden, wenn sie die Geschäftsanforderungen nicht mehr erfüllen, ein inakzeptables Risiko darstellen oder den erwarteten Wert nicht liefern. Der Lebenszyklusabschluss reduziert das Restrisiko, indem sichergestellt wird, dass KI-Assets offiziell stillgelegt, dokumentiert und nicht mehr aktiven Governance-Verpflichtungen unterliegen.

AICT verwaltet den Lebenszyklusabschluss und aktualisiert den Lebenszyklusstatus des KI-Systems. AIRC validiert, dass endgültige Governance-Verpflichtungen erfüllt werden und dass keine ausstehenden Risiko- oder Compliance-Anforderungen bestehen.

KI-Asset-Besitzer autorisieren mit Bestätigung von AIRC-Managern Stilllegungs- oder Offboarding-Entscheidungen.

Während des Offboardings werden Folgendes erstellt oder aktualisiert: Aktualisierter Lebenszyklusstatus, Begründung für die Stilllegung und endgültiger Governance-Datensatz.

Weitere Informationen finden Sie unter Complete AI asset lifecycle und Offboarding von KI-Assets – Überprüfung.