जैसे-जैसे AI-प्रचार अर्थव्यवस्था को आगे बढ़ा रहा है, B2B SaaS कंपनियों के अंतिम उपयोगकर्ताओं और ग्राहकों के लिए AI क्षमताओं में विश्वास केंद्रीय हो गया है। आख़िरकार, AI कई वादे तो लाता है, लेकिन खतरे भी लाता है।
विश्वास के बिना, कोई व्यवसाय नहीं है. आप उन प्रणालियों के बारे में विश्वास कैसे बनाते हैं जिनकी मार्केटिंग रहस्यवाद पर निर्भर करती है? क्या हमें कुछ नया सोचने और तकनीकी उद्योग के “दूरदर्शी लोगों” का अनुसरण करने की ज़रूरत है, जबकि वे अनिवार्य रूप से पहिए का पुन: आविष्कार करते हैं?
या क्या हम विमानों, रेलगाड़ियों और ऑटोमोबाइल जैसी नई तकनीकों को विकसित करते समय प्राप्त दशकों के अनुभवों का अनुसरण कर सकते हैं? 🦃 सचमुच, हम कर सकते हैं। किसी भी अन्य प्रकार के उत्पादों की तरह, हम गुणवत्ता प्रबंधन और सुरक्षा के मानकों को लागू करने के साथ-साथ नियामक निकायों के अनुपालन का प्रदर्शन करके और घटना प्रबंधन की संस्कृति का निर्माण करके विश्वास का निर्माण कर सकते हैं। अब से एआई गवर्नेंस की शुरुआत।
एआई गवर्नेंस का सबसे आसान हिस्सा यह समझना है कि यह क्या है। एआई गवर्नेंस वह प्रक्रिया है जिसे संगठन अपने एआई सिस्टम (आंतरिक या उत्पाद समान) में गुणवत्ता और सुरक्षा के मानकों का प्रबंधन करने के लिए लागू करते हैं। एआई गवर्नेंस ढाँचे प्रचुर मात्रा में हैं, और उनमें से प्रत्येक आपको बताएगा क्या आपको अमल करना चाहिए. एआई गवर्नेंस का कठिन हिस्सा है कैसे उन प्रक्रियाओं को लागू करने के लिए.
जनवरी से जून 2025 तक, मैंने खुद को एआई गवर्नेंस प्रोग्राम को लागू करने के काम में लगा दिया, जिसका जुलाई 2025 में बाहरी ऑडिट किया गया, जिसके परिणामस्वरूप ज़ेनडेस्क आईएसओ 42001-प्रमाणित पहली सीएक्स कंपनियों में से एक बन गई। इसका मतलब है कि हमारा एआई गवर्नेंस प्रोग्राम एक अच्छे एआई प्रबंधन प्रणाली के मानकों का अनुपालन करता है, जैसा कि आईएसओ द्वारा देखा गया है। इस प्रकार, मेरे पास एआई गवर्नेंस के प्रभावी कार्यान्वयन के बारे में कहने के लिए एक या दो बातें हैं।
मैं पीछा छोड़ दूंगा: अधिकांश एआई गवर्नेंस फ्रेमवर्क एक-दूसरे को महत्वपूर्ण रूप से ओवरलैप करते हैं, और मेरी प्राथमिकता कई कारणों से एनआईएसटी एआई जोखिम प्रबंधन फ्रेमवर्क (एनआईएसटी एआई आरएमएफ) पर जाती है।
- यह एक सर्वांगीण एआई गवर्नेंस ढांचा है, यह साइबर सुरक्षा या अनुपालन पर अधिक ध्यान केंद्रित नहीं करता है;
- एनआईएसटी एआई आरएमएफ खुला स्रोत है, उनकी सभी प्लेबुक और दस्तावेज़ उनकी वेबसाइट पर निःशुल्क उपलब्ध हैं। उनका दस्तावेज़ीकरण बहुत सुपाच्य है (मात्र 40 पृष्ठ 😬);
- अन्य एनआईएसटी ढांचे की तरह, इसे अमेरिका और कुछ वैश्विक ग्राहकों द्वारा अच्छी तरह से माना और मान्यता प्राप्त है।
- यदि आपका एआई गवर्नेंस प्रोग्राम एनआईएसटी के साथ संरेखित होता है, तो आप आईएसओ 42001 के 90% रास्ते पर हैं।
- यह EU AI अधिनियम के साथ भी बहुत अच्छी तरह से संरेखित है।
60 सेकंड या उससे कम समय में एनआईएसटी एआई आरएमएफ का अवलोकन
एनआईएसटी एआई आरएमएफ चार जुड़े भागों के आसपास एक एआई गवर्नेंस कार्यक्रम बनाने का प्रस्ताव करता है (धारा 5 देखें):
- को नियंत्रित करने वाले: अपने संगठन में एक शासन संरचना बनाएं जिसके पास अन्य भागों को नियंत्रित करने, निष्पादित करने और देखरेख करने का अधिकार हो।
- मानचित्र: अपने संगठन में एआई के संदर्भ का मानचित्र बनाएं। अपने एआई सिस्टम की एक सूची बनाएं, और उन एआई जोखिमों की एक सूची बनाएं जिन्हें आप ट्रैक करना चाहते हैं, और मैप करें कि किस सिस्टम में कौन सा जोखिम है।
- उपाय: अपने एआई सिस्टम में उत्पन्न होने वाले विशिष्ट जोखिमों को मापें।
- प्रबंधित करना: इन जोखिमों को शमन, उपचार आदि द्वारा प्रबंधित करें।
फिर से, एनआईएसटी एआई आरएमएफ आपको बताता है क्या आपको ऐसा करना चाहिए, लेकिन बिल्कुल नहीं कैसे. ऐसा इसलिए है क्योंकि कैसे यह आपके संगठन और उसकी संस्कृति, स्थापित मानदंडों और मौजूदा शासन ढांचे पर निर्भर करता है।
यहां मेरी रणनीति है, और आपका लाभ आपके संगठन के आधार पर अलग-अलग होगा।
मैंने एक बार एक वरिष्ठ कार्यकारी से पूछा कि अगर मैं सीआईएसएसपी प्रमाणीकरण तैयार करूं तो मैं क्या सीखूंगा। उनका उत्तर निम्नलिखित चुटकुला था:
यहां सीआईएसएसपी से एक उदाहरण प्रश्न है: इमारत में आग लगी है। आपको पहले क्या करना चाहिए?
- 911 पर कॉल करें
- आग बुझाने वाला यंत्र ढूंढें
- वरिष्ठ नेतृत्व प्रायोजन की तलाश करें
सही उत्तर 3 है.
यहां तक कि सबसे कुशल एआई गवर्नेंस कार्यक्रम को भी उत्पाद विकास में बाधा माना जा सकता है। इसलिए, आपको इस परियोजना के लिए अधिकार उधार देने के लिए वरिष्ठ कार्यकारी प्रायोजन के पूर्ण स्पेक्ट्रम की आवश्यकता है। हितधारकों के रूप में कई डोमेन (कानूनी, सुरक्षा, इंजीनियरिंग, विपणन इत्यादि) के साथ कंपनी-व्यापी पहल के रूप में कार्यक्रम के कार्यान्वयन को डिजाइन करना एक अच्छा विचार है। यह इसे एक समयबद्ध, उद्देश्य-संचालित वास्तविकता देता है जो आपकी रणनीति का मार्गदर्शन करने में मदद करेगा। वरिष्ठ अधिकारियों का यह समूह एनआईएसटी एआई आरएमएफ “गवर्नमेंट” भाग का आधार भी बन जाता है: एक बार जब आप इस पर चार्टर लगा देते हैं तो वे कार्यकारी निरीक्षण बन जाते हैं!
चरण 2: कम करें. पुन: उपयोग करें. अपनी बात दोहराना
यदि आपके संगठन में पहले से ही गवर्नेंस, जोखिम और अनुपालन (जीआरसी) संरचना है, तो आपको निश्चित रूप से इसके भीतर एक एआई गवर्नेंस कार्यक्रम को फिट करने का प्रयास करना चाहिए। प्रक्रियाओं की सूची बनाएं, उनके हितधारकों से मिलें और शोध करें कि एआई गवर्नेंस कार्यक्रम को कैसे एकीकृत किया जा सकता है। यह पूरे संगठन में अपने दैनिक साझेदारों को इकट्ठा करने का भी समय है। कम से कम, आप सुरक्षा, कानूनी, अनुपालन, इंजीनियरिंग और उत्पाद विकास से संबंधित हितधारकों की एक टीम इकट्ठा करेंगे।
चरण 3: दायरा
क्या आप चाहते हैं कि आपका AI गवर्नेंस प्रोग्राम आपके उत्पाद की सभी AI सुविधाओं को कवर करे? या केवल कुछ? कोई नहीं, लेकिन आप अपने आंतरिक AI उपकरण उपयोग को प्रबंधित करना चाहते हैं? क्या आपके स्कोप मॉडल एआई सुविधाओं के बजाय हैं (वे समान नहीं हैं 😁)? आपको अपने एआई गवर्नेंस प्रोग्राम की पहुंच और चीजों को देखने के नजरिए का दायरा बढ़ाने की जरूरत है। आप (मुफ़्त में!) आईएसओ 22989 (धारा 5.19) से परामर्श ले सकते हैं, जो आपके संगठन के लिए एआई हितधारक भूमिकाओं को परिभाषित करता है, और इसलिए आपके कार्यक्रम का दायरा।
एआई जोखिम
अपने दायरे के हिस्से के रूप में, आपको यह भी तय करना होगा कि आप किन जोखिमों को ट्रैक करना चाहते हैं। एआई जोखिम क्या हैं? एआई जोखिम केवल एआई सुरक्षा जोखिम नहीं हैं जैसे त्वरित इंजेक्शन या निष्पक्षता मुद्दे। वे अनुपालन, प्रकटीकरण, पारदर्शिता आदि से संबंधित हो सकते हैं।
- एनआईएसटी एआई आरएमएफ जोखिमों की एक सूची प्रस्तावित करता है, लेकिन मुझे लगता है कि वे उपयोगी होने के लिए बहुत सामान्य हैं।
- एमआईटी एआई रिस्क रिपॉजिटरी 1,600 से अधिक जोखिमों का एक अकादमिक भंडार है। मुझे उनका नामकरण औद्योगिक उद्देश्यों के लिए बहुत विस्तृत – और कुछ हद तक जटिल – लगता है।
- एमआईटीईआर एटलस एआई सिस्टम के लिए साइबर सुरक्षा जोखिमों पर ध्यान केंद्रित करता है, लेकिन इसमें सुरक्षा के बाहर जोखिमों का अभाव है।
- ओडब्ल्यूएएसपी टॉप 10 एलएलएम एलएलएम के लिए पूरी तरह से साइबर सुरक्षा जोखिमों पर केंद्रित है, फिर भी, यह उपयोगी है लेकिन बहुत संकीर्ण है।
- SAIL फ्रेमवर्क मौजूद असंख्य अन्य AI जोखिम ढांचों का एक उदाहरण है।
मुझे लगता है कि सबसे उपयोगी एआई जोखिम भंडार आईबीएम एआई जोखिम एटलस है:
- यह छोटा है (60+ जोखिम, और आप कुछ को एक साथ मिला सकते हैं), व्यापक, और अच्छी तरह से गोल। इसमें सुरक्षा, नैतिक, कानूनी और सामाजिक जोखिम शामिल हैं। ध्यान दें कि इसमें परिचालन जोखिम (यानी, लागत प्रबंधन या एकीकरण मुद्दे) शामिल नहीं हैं।
- इसका नामकरण और लेंस विशुद्ध रूप से अकादमिक के बजाय उद्योग के नजरिए से समझ में आता है।
- यह एजेंट-विशिष्ट एआई जोखिमों पर हालिया अपडेट के साथ अद्यतित है।
- यह मुफ़्त है.
- यह सहकर्मी-समीक्षा अनुसंधान द्वारा समर्थित है।
चरण 4: मानचित्र
एक बार जब हम उस चीज़ के दायरे (सांस) और लेंस (गहराई) को परिभाषित कर लेते हैं, जिसे हमें मैप करना है, तो आइए इसे मैप करें। अपने दायरे में आने वाले सभी AI सिस्टम की एक सूची बनाएं। एनआईएसटी एआई आरएमएफ आपको एआई सिस्टम को एआई जोखिमों के दायरे में “मैप” करने के लिए कहता है। लेकिन कैसे क्या आप वास्तव में ऐसा करते हैं?
एमएपी फ़ंक्शन जोखिमों की पहचान करने के लिए जानकारी इकट्ठा करने और संदर्भ स्थापित करने का सुझाव देता है। “माप फ़ंक्शन एआई जोखिम और संबंधित प्रभावों का विश्लेषण, मूल्यांकन, बेंचमार्क और निगरानी करने के लिए मात्रात्मक, गुणात्मक, या मिश्रित-विधि उपकरण, तकनीक और पद्धतियों को नियोजित करता है। यह एमएपी में पहचाने गए एआई जोखिमों से संबंधित ज्ञान का उपयोग करता है” (एनआईएसटी एआई आरएमएफ दस्तावेज (पेज 28))
यहीं पर मैं एनआईएसटी एआई आरएमएफ से थोड़ा असहमत हूं, और सुझाव देता हूं कि आप एमएपी के दौरान गुणात्मक एआई जोखिम मूल्यांकन (यानी, एक प्रश्नावली) करें। मेरे विचार में, एक गुणात्मक एआई जोखिम मूल्यांकन (आईएसओ 42001 उन्हें “एआई प्रभाव आकलन” कहता है), है कैसे आप मैप कर सकते हैं. दस्तावेजों के असंरचित संग्रह या विशाल स्प्रेडशीट की तुलना में एक संरचित प्रश्नावली के भीतर आवश्यक सभी संदर्भ एकत्र करना मूल्यांकन करना बहुत आसान है। अपने आप को परेशानी से बचाएं.
गुणात्मक एआई जोखिम आकलन
यह एआई गवर्नेंस कार्यक्रम का दूसरा सबसे कठिन हिस्सा हो सकता है: आपको एक मूल्यांकन (एक प्रश्नावली) डिजाइन करना होगा जो यह मूल्यांकन करने के लिए आवश्यक सभी संदर्भ एकत्र करता है कि एआई सिस्टम के भीतर कोई जोखिम मौजूद है या अनुपस्थित है। सौभाग्य से, एक बार फिर, आपको पहिये का पुनः आविष्कार करने की आवश्यकता नहीं है।
आपके उत्पाद में एआई सुविधाओं पर एआई जोखिम मूल्यांकन के लिए, मैं दृढ़ता से आईबीएम रिसर्च के मानव-केंद्रित एआई अनुसंधान समूह (जिसे नवंबर 2025 में पूरी तरह से बंद कर दिया गया था। कितना अदूरदर्शी निर्णय है!), और उनके फैक्टशीट प्रोजेक्ट: 1,2,3 को पढ़ने की दृढ़ता से अनुशंसा करता हूं। यह सिर्फ मॉडल कार्ड के बारे में नहीं है, यह गैर-तकनीकी लोगों तक तकनीकी संदर्भ को प्रभावी ढंग से संप्रेषित करने के बारे में है। फैक्टशीट ही आईबीएम वॉटसन गवर्नेंस को शक्ति प्रदान करती है। यह एक प्रभावशाली उत्पाद है, लेकिन चूंकि उन्होंने अपनी पूरी शोध टीम को निकाल दिया है, इसलिए किसी को आश्चर्य होगा कि यह कितने समय तक प्रासंगिक रहेगा…
तीसरे पक्ष प्रदाता के लिए एआई जोखिम मूल्यांकन के लिए, आप क्लाउड सिक्योरिटी एलायंस एआई-सीएआईक्यू (उच्चारण ‘एआई-केक’) की जांच कर सकते हैं जो क्लाउड सुरक्षा परिप्रेक्ष्य से लिखी गई एक मानकीकृत प्रश्नावली है। यह एआई गवर्नेंस का रामबाण इलाज नहीं है, लेकिन यह एक शुरुआत है।
गुणात्मक एआई जोखिम मूल्यांकन के लिए निम्नलिखित पर जानकारी एकत्र करने की आवश्यकता है:
- एआई प्रणाली के उपयोग का संदर्भ (अंतिम उपयोगकर्ता कौन है, कौन सा डेटा अंदर और बाहर जाता है, आदि)
- इस प्रणाली के लिए कौन जवाबदेह है (इंजीनियर, उत्पाद प्रबंधक, वैज्ञानिक, आदि)
- सिस्टम की पारदर्शिता और व्याख्यात्मकता का समर्थन करने के लिए दस्तावेज़ीकरण (वास्तुकला, निगरानी, कोड भंडार, मॉडल आर एंड डी।)
- इस प्रणाली द्वारा कानूनी और अनुपालन आवश्यकताओं को कैसे पूरा किया जाता है
- सुरक्षा और एआई सुरक्षा सुविधाएँ लागू की गईं
- तृतीय-पक्ष प्रबंधन से संबंधित कुछ भी
आप एआई गवर्नेंस टूल के नए पारिस्थितिकी तंत्र की जांच कर सकते हैं जो उन आकलन के डिजाइन और कार्यान्वयन का समर्थन करते हैं (उदाहरण के लिए, वनट्रस्ट, क्रेडो)।
एक बार जब आप वह सारा संदर्भ एकत्र कर लेते हैं, तो आप एआई जोखिमों का मानचित्रण कर सकते हैं। आप उत्तरों के लिए अंक या मान निर्दिष्ट कर सकते हैं, और जोखिमों के लिए सीमा स्कोर डिज़ाइन कर सकते हैं। हालाँकि, उनमें से कुछ जोखिमों के लिए, विशेष रूप से एआई सुरक्षा जोखिमों के लिए, आपको केवल अपने एआई सिस्टम में इस जोखिम की उपस्थिति/अनुपस्थिति की धारणा होगी। इसलिए, उपाय.
चरण 5: मापें
एक मात्रात्मक एआई जोखिम मूल्यांकन है कैसे आप जोखिम की संभावना और प्रभाव को माप सकते हैं। अनिवार्य रूप से, यदि हम एमएपी से जानते हैं कि एआई सिस्टम में पूर्वाग्रह का जोखिम है, तो हमें उस पूर्वाग्रह को मात्रात्मक रूप से मापना चाहिए। मात्रात्मक जोखिम मूल्यांकन कठिन हैं, और मेरे विचार में, परिपक्व एआई गवर्नेंस कार्यक्रम का सबसे कठिन हिस्सा है। मेरे पास उनके बारे में साझा करने के लिए बहुत सारे विचार हैं, वास्तव में इतने सारे, कि यह पूरी तरह से एक और ब्लॉग होगा…
चरण 6: प्रबंधन (और रखरखाव)
आइए चरण 1 और 2 पर नज़र डालें। अब तक, आपके पास वरिष्ठ कार्यकारी प्रायोजन है, और आपने एक क्रॉस-संगठन समिति को इकट्ठा किया है जिसने एमएपी और माप चरणों को संचालित किया है। इस समिति को अब आपके AI सिस्टम के पूरे जीवन चक्र में आपके संगठन में पाए जाने वाले AI जोखिमों का प्रबंधन करना होगा। यह एक सतत और अनवरत प्रयास बन जाता है, जिसे कायम रखा जाना चाहिए और व्यर्थ नहीं जाने दिया जाना चाहिए।
चरण 7: आईएसओ 27001 एक शॉर्ट-कट है
“आईएसओ 42001: एआई प्रबंधन प्रणाली” एक प्रमाणन है जिसे अंतरराष्ट्रीय स्तर पर “एआई गवर्नेंस प्रमाणन” के रूप में मान्यता प्राप्त है। यह NIST AI RMF के साथ महत्वपूर्ण रूप से ओवरलैप होता है। चूंकि एनआईएसटी एआई आरएमएफ प्रमाणित नहीं है, आईएसओ 42001 एआई गवर्नेंस कार्यक्रम की परिपक्वता को बाहरी रूप से प्रमाणित करने का एक तरीका प्रदान करता है। ISO 42001, ISO 27001 का छोटा भाई है, और मेरी तीव्र सफलता का एक कारण यह था कि मेरा AI गवर्नेंस कार्यक्रम हमारे ISO 27001 प्रमाणीकरण के कंधे पर खड़ा था। यदि आपका संगठन पहले से ही आईएसओ 27001-प्रमाणित है, तो आपको आईएसओ 42001 के उन हिस्सों को कवर करने के लिए अपने एआई गवर्नेंस कार्यक्रम के डिजाइन में अपनी अनुपालन टीम के साथ समन्वय करना होगा जो एनआईएसटी एआई आरएमएफ द्वारा सुझाए नहीं गए हैं। उदाहरण के लिए, एनआईएसटी एआई आरएमएफ एआई घटना प्रबंधन, या आंतरिक प्रशिक्षण के बारे में बात नहीं करता है।
एआई गवर्नेंस कार्यक्रम को लागू करने के लिए आपको सहयोग और क्रॉस-डोमेन विशेषज्ञता की संस्कृति को बढ़ावा देने की आवश्यकता होगी। यह आसान नहीं है, लेकिन यह एक आवश्यकता है. एआई गवर्नेंस तेजी से नया बाजार विभेदक बन रहा है। मेरी गणना के अनुसार, ज़ेंडेस्क इसे प्राप्त करने वाली पांचवीं ग्राहक सेवा कंपनी थी। सेल्सफोर्स ने इसे ज़ेंडेस्क के कुछ दिनों बाद प्राप्त किया, लेकिन उसके सभी उत्पादों के लिए नहीं। इसलिए यदि आप एआई पेशकश वाली बी2बी कंपनी हैं, तो एआई गवर्नेंस कार्यक्रम के अस्तित्व और परिपक्वता का प्रदर्शन अगले कुछ वर्षों में आदर्श होगा। एआई गवर्नेंस कार्यक्रम शुरू करने का सबसे अच्छा समय एक साल पहले था। अगला सर्वोत्तम समय अब है!