Governança de IA em todo o ciclo de vida

A IA de governança é um processo contínuo que abrange todo o ciclo de vida de um ativo de IA, desde a demanda inicial e a admissão até a implantação, o monitoramento e a realização de valor. Você pode usar o. Torre de controle de IA(AICT) e. Risco e conformidade de IA(AIRC) Aplicações juntas para dar suporte a uma abordagem coordenada à governança de IA empresarial.

O AICT fornece visibilidade centralizada e gestão do estado do ciclo de vida para iniciativas de IA em toda a organização. O AIRC oferece capacidades de governança ética, regulatória e de risco que ajudam as organizações a avaliar se os sistemas de IA são desenvolvidos e operados de forma responsável e ética.

Quando um novo sistema de IA é introduzido ou um sistema existente é significativamente atualizado e registrado para governança, ele entra em um ciclo de vida governado. Este ciclo de vida abrange admissão, avaliação, criação, revisão, implantação, e monitoramento. As atividades de governança neste ciclo de vida ajudam as organizações a entender o risco, aplicar controles apropriados e tomar decisões de implantação informadas.

Como parte desse ciclo de vida, os sistemas de IA geralmente passam por avaliações de impacto e risco para avaliar a exposição regulatória, considerações éticas e risco operacional. Os resultados da avaliação informam a classificação de risco, os controles necessários e o roteamento de revisão. Durante o desenvolvimento, a governança se concentra no atestado de controle, gestão de ocorrências e tratamento de exceções de política de uma perspectiva de risco e conformidade.

Antes da implantação, os sistemas de IA são revisados para confirmar se as avaliações necessárias foram concluídas. As ocorrências em aberto e as exceções à política devem ser resolvidas ou formalmente aceitas, e a postura de risco residual do sistema deve ser compreendida. Com base nesta revisão, o sistema de IA pode ser aprovado para implantação, devolvido para correção ou bloqueado para lançamento.

Após a implantação, os sistemas de IA passam para uma fase de monitoramento operacional. O monitoramento contínuo de governança ajuda a manter a visibilidade dos riscos emergentes, mudanças no uso e requisitos de conformidade em evolução. Mudanças ou incidentes significativos podem exigir atividades de governança para reinserir fases anteriores do ciclo de vida.

Ao aplicar governança consistente em todo o ciclo de vida da IA, as organizações podem centralizar a visibilidade do uso da IA e alinhar as iniciativas de IA à estratégia de negócios. Essa abordagem também ajuda as organizações a avaliar e gerenciar o risco de IA interna e de terceiros e a oferecer suporte à implantação escalável com supervisão contínua.

Tratar AICT e AIRC como uma estrutura de governança coordenada permite uma supervisão consistente em todos os processos do ciclo de vida, desde a demanda até a realização de valor e o fechamento do ciclo de vida.

Em resumo, você pode usar cada aplicação da seguinte forma:

• O AICT gerencia o ciclo de vida da IA e serve como o sistema de registro.

  Para obter mais informações, consulte AI Control Tower Home, AI asset lifecycle e Exploring AI Control Tower.

• O AIRC executa governança independente de risco, regulatório e controle.
• A progressão do ciclo de vida no AICT depende das decisões de risco e conformidade tomadas no AIC.

  Para obter mais informações sobre como essas informações são mostradas no AICT, consulte Risk and compliance tab in AI Control Tower.

• Nenhuma aplicação substitui a outra; juntas, elas apoiam uma estrutura de governança coordenada.

Funções e responsabilidades de governança de IA

O ciclo de vida da governança de IA envolve funções distintas com responsabilidades claramente separadas entre AICT e AIRC.

Os proprietários de ativos de IA [sn_ai_asset_mgmt.ai_asset_owner] (também chamados de responsáveis pelo produto) são responsáveis por sistemas, modelos e conjuntos de dados de IA como ativos de IA. Eles iniciam a admissão e fornecem contexto de negócios durante a avaliação.

Os proprietários de ativos de IA autorizam as decisões de implantação e descontinuação. Essas decisões estão sujeitas à aprovação de conformidade e risco aplicável. Os proprietários de ativos de IA também possuem resultados, como realização de valor e fechamento do ciclo de vida.

Os gerentes de risco e conformidade de IA [sn_grc_ai_gov.ai_risk_and_compliance_manager] fornecem supervisão regulatória e de risco independente. Eles iniciam e supervisionam avaliações de impacto e risco, determinam a classificação de risco, validam a implementação de controle e aprovam ou bloqueiam a progressão do ciclo de vida.

Os usuários de negócios de risco e conformidade de IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user] e os administradores de IA [sn_ai_governance_ai_steward] executam atividades de governança. Essas funções contribuem com entradas de avaliação, executam tarefas atribuídas, como atestados de controle, e oferecem suporte à correção e gestão de problemas. Eles também ajudam a manter os registros de inventário precisos durante todo o ciclo de vida.

Outras partes interessadas de governança, como equipes de segurança, jurídica, privacidade ou governança de dados, participam conforme necessário. Eles contribuem com experiência durante as atividades de avaliação, revisão e investigação. Essas partes interessadas não são responsáveis pelas decisões de ciclo de vida.

Para obter mais informações sobre funções no AICT e AIRC, consulte Funções instaladas com Risco e conformidade de IA e. AI Control Tower roles.

Fases e processos do ciclo de vida da governança de IA

Essas fases descrevem as atividades de governança de IA em um nível conceitual e podem abranger várias etapas de fluxo de trabalho no AICT e no AIRC.

Demanda: Admissão ou a bordo

O ciclo de vida começa com a admissão, em que novos casos de uso de IA, aprimoramentos e ideias são enviados para governança. A admissão estabelece um ponto de entrada centralizado para capturar a finalidade, o escopo, os resultados pretendidos e o contexto de uso de um sistema de IA. Esta fase fornece visibilidade antecipada da demanda de IA, permitindo que as organizações identifiquem possíveis riscos, duplicação ou desalinhamento antes do início do desenvolvimento.

Qualquer membro da equipe com as funções de negócios responsáveis pelo ativo de IA, administrador de IA ou AIRC pode enviar informações relacionadas à admissão com uma solicitação de admissão usando o. Central do funcionário Para determinar se uma iniciativa de IA deve entrar no ciclo de vida governado com base em sua intenção, escopo e alinhamento organizacional. Se você tiver a função de responsável pelo ativo de IA ou administrador de IA, poderá revisar e prosseguir solicitações de admissão usando Torre de controle de IA Depois que eles são enviados por meio de Central do funcionário.

Para obter mais informações sobre solicitações de admissão no AIRC e AICT, consulte Solicitações de admissão, Solicitar um caso de uso de IA, Solicitar um modelo de IA e. Solicitar um conjunto de dados.

Durante a admissão, os seguintes itens são criados ou necessários: Uma solicitação de admissão de IA, um registro inicial do sistema de IA e contexto de negócios para a iniciativa de IA.

Toda a admissão de casos de uso de IA, incluindo casos de uso de IA internos e de terceiros, é gerenciada pelo ciclo de vida no Torre de controle de IA aplicação. Torre de controle de IAÉ necessário registrar sistemas de IA e casos de uso que devem entrar no ciclo de vida da IA governada e atuar como o sistema de registro para acompanhamento do ciclo de vida e visibilidade do portfólio.

A AIRC não possui a admissão de casos de uso de IA. Se você tiver AIRC, poderá participar após a admissão contribuindo com o contexto de governança de risco e conformidade, como avaliações de impacto e avaliação regulatória, depois que um caso de uso de IA for registrado no AICT.

Use o. Central do funcionário Para solicitar um caso de uso de IA para revisão ou use AICT para adicionar um ativo de IA diretamente como parte da integração aprovada por um executante. Para obter mais informações, consulte Create AI system assets, Create an AI case in the AI Control Tower, Create AI model assets, Create prompt assets e. Create dataset assets.

As solicitações de aprimoramento, ideias e feedback podem ser enviados e gerenciados se Gestão estratégica de portfólios (SPM) está instalado. As solicitações de aprimoramento, ideias e feedback não entram no ciclo de vida da governança da IA por meio do AICT ou do AIC. Para obter mais informações sobre Gestão estratégica de portfólios (SPM), consulte Strategic Portfolio Management.

Nota:

Uma solicitação de admissão representa uma proposta para introduzir ou reger um caso de uso de IA. O envio de uma solicitação de admissão não cria nem implanta um ativo de IA. Após a revisão de admissão, sistemas, modelos e conjuntos de dados de IA podem ser registrados no AICT como parte da integração aprovada e do início do ciclo de vida. O sistema de IA ou as categorias de modelo selecionadas durante a admissão (como Agentivo ou generativo) fornecem somente contexto descritivo. A progressão do ciclo de vida, os requisitos de avaliação e as decisões de governança são orientados pela classificação de risco, pelos resultados da avaliação e pelas regras de governança configuradas, não pela seleção de categoria.

O inventário e a descoberta de ativos de IA são uma capacidade que abrange todo o ciclo de vida que começa durante a fase de demanda e persiste em todas as fases do ciclo de vida da IA governada. Como parte da admissão e da integração aprovada, sistemas de IA, modelos, conjuntos de dados, prompts, e artefatos relacionados são registrados ou descobertos e registrados em um inventário centralizado de IA.

O inventário de ativos de IA fornece uma exibição autorizada dos ativos de IA em toda a empresa, incluindo IA desenvolvida internamente e de terceiros. Os registros de inventário persistem desde a admissão até a implantação e a descontinuação, permitindo rastreabilidade, visibilidade e governança à medida que os ativos progridem nos fluxos de trabalho do ciclo de vida.

Os ativos de IA podem ser adicionados ao inventário por meio do registro manual durante a admissão e a integração, bem como por meio da descoberta automatizada usando integrações configuradas com plataformas de nuvem compatíveis e de terceiros. Os ativos e relacionamentos descobertos são revisados e concluídos pelos proprietários de ativos de IA e administradores de IA para ajudar a garantir a precisão do inventário e a prontidão da governança.

O AICT é proprietário e gerencia o inventário de ativos de IA e atua como o sistema de registro para registros de ativos de IA, relacionamentos e estado do ciclo de vida. O AIRC consome dados de inventário para atividades de governança downstream, como avaliações de impacto, classificação de risco, avaliação de controle e relatórios regulatórios, mas não cria ou possui registros de inventário.

Nota:

A descoberta automatizada requer a configuração de integrações compatíveis. Para obter mais informações sobre descoberta de IA empresarial e ingestão automatizada de inventário, consulte AI connections e. AI connections setup.

Criar e validar: Avaliar

Durante esta fase, as atividades de governança são executadas por meio de playbooks do ciclo de vida. Os playbooks são anexados aos registros de ativos de IA no AICT e definem as tarefas de avaliação, aprovações e transferências necessárias entre as funções de governança. Os playbooks do ciclo de vida coordenam as tarefas e entregas necessárias nas aplicações AICT e AIRC.

Os playbooks do ciclo de vida orientam as seguintes funções no processo de avaliação:

Os administradores de IA iniciam e gerenciam a fase de avaliação no AICT iniciando as revisões do ciclo de vida, atribuindo tarefas do playbook e monitorando a progressão geral do ciclo de vida nos sistemas de IA.

Os proprietários de ativos de IA fornecem detalhes do sistema e contexto de negócios no AICT e concluem as avaliações necessárias (como avaliações de impacto ou risco) usando informações capturadas no inventário de ativos de IA.

Os analistas do AIRC realizam avaliações de governança no AIRC. Essas avaliações incluem avaliações de impacto regulatório, classificação de risco e identificação de controles necessários com base no sistema e nas informações de negócios do AICT.

Os gerentes do AIRC revisam os resultados da avaliação no AIRC, determinam se os riscos identificados são aceitáveis e aprovam os controles ou mitigações necessários antes que o sistema de IA possa avançar no ciclo de vida.

Em toda a fase de avaliação, o AICT coordena a execução de tarefas, aprovações e transições de status entre AICT e AIRC, fornecendo visibilidade se as avaliações necessárias foram concluídas antes da progressão do ciclo de vida.

Durante a avaliação, os seguintes itens são criados ou atualizados: Resultados da avaliação de impacto, classificação de risco, riscos identificados e controles recomendados. Esses resultados determinam se o sistema de IA pode prosseguir para a próxima fase do ciclo de vida.

Para obter mais informações, consulte Playbooks, Execute a avaliação de impacto em um caso de uso de IA e Execute avaliações de risco em sistemas de IA.

Criar e validar: Criar e testar

A fase de criação e teste aplica a governança durante o desenvolvimento, ajudando a garantir que os riscos identificados durante a avaliação sejam abordados por meio de controles definidos, atividades de correção e etapas de validação.

Os playbooks continuam orientando a correção, certificação de controle e atividades de coleta de evidências durante a criação e o teste, com a progressão do ciclo de vida dependente da conclusão das tarefas de governança necessárias.

O AICT continua a gerenciar o estado do ciclo de vida e acompanhar o andamento da governança. O AIRC valida se os controles necessários foram implementados e se os problemas ou exceções são documentados e resolvidos durante todo o ciclo de vida.

Os proprietários de ativos de IA e as equipes de desenvolvimento implementam os controles necessários e as atividades de correção. Os usuários de negócios e analistas do AIRC revisam os atestados de controle e enviaram evidências para validar se os controles necessários estão implementados e funcionando conforme pretendido.

Os atestados de controle podem ocorrer em várias fases do ciclo de vida, incluindo durante a avaliação, criação e validação e desligamento. A conclusão dos atestados de controle contribui para a prontidão da governança, mas não aprova a implantação por conta própria.

Os gerentes do AIRC verificam se os controles necessários e as ações de correção estão implementados e eficazes.

Durante a validação, os seguintes registros são criados ou atualizados: Atestados de controle, registros de ocorrências, evidências de correção e registros de exceção.

Para obter mais informações, consulte Gerencie controles usando Risco e conformidade de IA, Crie certificações de controle para ativos de IA e Corrija um problema em Risco e conformidade de IA.

Criar e validar: Revisão de pré-implantação

Antes da implantação, os sistemas de IA passam por uma revisão pré-implantação para confirmar se as avaliações necessárias estão concluídas, se os problemas e exceções de alta prioridade são resolvidos e se o risco residual é compreendido e documentado.

O AICT gerencia o portão do ciclo de vida pré-implantação. O AIRC realiza uma revisão de governança final para determinar a prontidão da implantação com base na postura de risco, na implementação de controle e no risco residual.

Durante a revisão pré-implantação, os playbooks mostram a prontidão da governança exibindo conclusão da avaliação, status do controle, problemas em aberto e risco residual documentado. Os playbooks não aprovam a implantação. As decisões de aprovação ou rejeição são tomadas pelos gerentes do AIRC e refletidas no estado do ciclo de vida gerenciado pelo AICT.

Os gerentes do AIRC aprovam ou bloqueiam a implantação com base na prontidão da governança e no risco residual.

As decisões de governança são tomadas no AIRC, enquanto as mudanças de estado do ciclo de vida são registradas e aplicadas no AICT.

Para obter mais informações, consulte Overview tab in AI Control Tower e Guia Risco e conformidade.

Implantar, monitorar e avaliar valor: Monitorar

Após a implantação, as atividades de governança monitoram os sistemas de IA em busca de eventos relatados, mudanças operacionais e sinais de governança. Essas atividades oferecem suporte à gestão de riscos eficaz e à capacidade de resposta a riscos emergentes por meio de avaliações, revisões e atualizações regulatórias. O monitoramento contínuo ajuda as organizações a identificar riscos emergentes antecipadamente e a manter uma postura de governança auditável após a implantação.

O monitoramento contínuo pode gerar eventos de governança que exigem investigação ou tomada de decisão formal. A Gestão de casos de IA oferece suporte a essas atividades de governança orientadas por eventos, permitindo investigação, tratamento de exceções, documentação e reavaliação sem interromper a continuidade do ciclo de vida.

A Gestão de casos de IA é uma capacidade de ciclo de vida cruzado no AIRC que oferece suporte à investigação, ao tratamento de exceções e à resposta regulatória sem mudar a fase do ciclo de vida do sistema de IA, a menos que as decisões de governança exijam isso.

O AICT rastreia o estado do ciclo de vida e os sinais operacionais. O AIRC usa saídas de monitoramento para identificar quando a reavaliação, atualizações de controle ou intervenção de governança são necessárias.

Os gerentes do AIRC determinam se mudanças, reavaliações ou intervenções são necessárias com base em sinais operacionais ou de governança. Os casos e consultas são uma parte normal da governança contínua da IA e não indicam necessariamente falha ou não conformidade.

Para obter mais informações, consulte AI cases tab in AI Control Tower, Consultas e casos de IA e Guia Operações.

Implantar, monitorar e avaliar valor: Valor

O processo de valor se concentra em medir a adoção, o desempenho e os resultados para entender se as iniciativas de IA estão entregando o valor comercial esperado e o impacto estratégico. A medição do valor ajuda as organizações a determinar, com a revisão de risco e conformidade, se a exposição contínua ao risco relacionado à IA é justificada pelos resultados de negócios realizados.

O AICT captura métricas de valor, adoção e resultado e as associa a sistemas de IA e casos de uso durante todo o ciclo de vida.

Os proprietários de ativos de IA determinam se devem sustentar, expandir, ajustar ou descontinuar o sistema de IA com base nos resultados medidos e no valor comercial. Os gerentes do AIRC confirmam que o risco contínuo permanece aceitável como parte desta decisão.

A medição de valor informa a aceitação de risco contínua e ajuda a justificar a exposição contínua ao risco relacionado à IA.

Os resultados de valor capturados no AICT podem ser disponibilizados para Gestão estratégica de portfólios (SPM) Para informar decisões de planejamento, financiamento e priorização de portfólio mais amplas além de ativos de IA individuais.

As ações de governança identificadas durante o monitoramento podem resultar em reavaliação, controles adicionais ou atualizações do estado do ciclo de vida gerenciadas por meio do AICT.

Para obter mais informações, consulte Value tab in AI Control Tower, Adoption tab in AI Control Tower e Workbench de mapa térmico de risco de IA.

Encerramento do ciclo de vida: Descontinuar e desligar

A governança de IA inclui o fechamento do ciclo de vida. Os sistemas, modelos e conjuntos de dados de IA podem ser descontinuados ou desligados quando não atendem mais às necessidades de negócios, introduzem risco inaceitável ou não fornecem o valor esperado. O fechamento do ciclo de vida reduz o risco residual, ajudando a garantir que os ativos de IA sejam formalmente descontinuados, documentados e não estejam mais sujeitos a obrigações de governança ativas.

O AICT gerencia o fechamento do ciclo de vida e atualiza o estado do ciclo de vida do sistema de IA. O AIRC valida que as obrigações finais de governança foram atendidas e que não há requisitos pendentes de risco ou conformidade.

Os proprietários de ativos de IA, com confirmação dos gerentes de AIRC, autorizam decisões de aposentadoria ou desligamento.

Durante o desligamento, os seguintes itens são criados ou atualizados: Estado do ciclo de vida atualizado, justificativa de aposentadoria e registro de governança final.

Para obter mais informações, consulte Complete AI asset lifecycle e Revisão de ativos de IA de desligamento.