Эксперт объяснил, почему управлением ИИ-рисками теперь должен заниматься совет директоров, а не ИТ-отдел
Искусственный интеллект давно перерос ИТ-департаменты. Сегодня это вопрос ответственности совета директоров: ИИ влияет на решения о кредитах, найме, логистике и даже управлении критической инфраструктурой. И чем глубже ИИ проникает в бизнес-процессы, тем очевиднее становится, что цена ошибки – реальные штрафы регуляторов, судебные иски или репутационные потери. Но проблема в том, что во многих компаниях ИИ внедряют быстрее, чем формируется понимание того, кто за него отвечает и как им управлять.
В интервью Digital Business руководитель департамента консалтинга и партнер KPMG Кавказ и Центральная Азия Тимур Омашев рассказал, почему совету директоров различных холдингов, банков и крупных компаний пора брать эту тему под личный контроль и чем чревато игнорирование ИИ-рисков.
«Каждый неуправляемый ИИ-проект – это скрытый риск»
– Тимур, давайте честно, ИИ сейчас – скорее хайп? Или совету директоров действительно пора включаться?
– Хайп – это когда технологию обсуждают больше, чем используют. С ИИ ровно наоборот: около 66% людей в мире уже регулярно используют ИИ: на работе и в повседневной жизни. Но только порядка 46% говорят, что доверяют этой технологии. Мы видим системный разрыв между использованием и доверием.
Бизнес ведет себя так же: руководители видят, что конкуренты запускают ИИ, и дают команду «нам тоже надо», не отвечая на базовые вопросы: «зачем» и «какие риски мы на себя берем». Именно поэтому это вопрос для совета директоров. Когда ИИ проникает в кредитные решения, HR, комплаенс, медицину, фарму, навигацию и управление транспортом, – это уже стратегический риск, а не просто технологический проект.
Примеры уже есть: Amazon в 2018 году был вынужден свернуть ИИ-систему рекрутинга, которая систематически дискриминировала женщин-кандидатов. А в Нидерландах налоговая служба использовала алгоритм, который ошибочно обвинил тысячи семей в мошенничестве – скандал привел к отставке правительства.
– Что вы видите на практике – как компании внедряют ИИ?
– На практике это чаще всего хаотичный процесс. Один департамент запускает чат-бота, другой – предиктивную модель для закупок, третий экспериментирует с генеративным ИИ. Все развивается параллельно, обособленно, без единого владельца и без общих стандартов качества данных. Результат предсказуем: дублирование затрат, конфликтующие модели, накопление скрытых рисков – и в какой-то момент инцидент, к которому никто не готов.
По данным исследования KPMG Boardroom Lens on GenAI, менее четверти компаний проводят регулярные аудиты своих ИИ-систем, и лишь 8% создали специализированные комитеты по этике ИИ. Такие комитеты – не формальность. Они оценивают риски до запуска модели, устанавливают стандарты качества данных, решают этические дилеммы. Например, допустимо ли использовать ИИ для скоринга клиентов по определенным признакам и обеспечивают соответствие нормативным требованиям.
Глобальные оценки подтверждают ту же картину: формальная политика по управлению ИИ есть только у порядка 40% компаний – при том, что большинство уже активно внедряет эту технологию. В итоге формируется governance gap – разрыв между скоростью внедрения ИИ и зрелостью управления его рисками.
– Чем это грозит бизнесу?
– Каждый неуправляемый ИИ-проект – это скрытый риск. Модель, обученная на некорректных данных, может дискриминировать клиентов, модель без мониторинга – деградирует. А совет директоров узнает об этом уже постфактум, когда прилетает штраф или кризис в СМИ.
Разрозненное внедрение ИИ означает, что никто не видит общей картины. Если ее никто не видит, значит, никто не управляет совокупным риском. Для совета директоров это должно быть так же неприемлемо, как не знать совокупную кредитную экспозицию компании.
«Совету директоров не нужно ждать, пока регулятор постучит в дверь»
– В Европе приняли EU AI Act – первый в мире закон по регулированию ИИ. Влияет ли он на казахстанский бизнес и почему нам это важно?
– Да, это первый комплексный закон по регулированию ИИ в мире. Он вступил в силу в августе 2024-го, но полностью обязательным становится в августе 2026-го. Для Казахстана это важно, потому что EU AI Act может дотянуться и до компаний вне ЕС, если они работают с европейским рынком. При этом EU AI Act уже стал мировым ориентиром, и многие страны будут учитывать его подход при создании собственных правил.
Логика закона – риск-ориентированная, как в финансовом регулировании. Закон делит ИИ-системы на четыре уровня. Первый – запрещенные, к которым относится социальный скоринг, система оценки граждан по поведению или ИИ, незаметно влияющий на выбор человека.
Второй – высокий риск: это кредитный скоринг, рекрутинг, биометрия, госуслуги, критическая инфраструктура. Здесь обязательны объяснимость решений, прозрачность, человеческий контроль, качество данных, документирование.
Третий – ограниченный риск: чат-боты, генеративный ИИ. Обязанность уведомлять пользователя, что он взаимодействует с ИИ.
Четвертый – минимальный риск: спам-фильтры, рекомендательные системы. Здесь без ограничений.
Надзор осуществляют национальные органы стран ЕС, а координирует – Европейский офис по ИИ при Еврокомиссии.
– Какие наказания за нарушения?
– До 35 миллионов евро для малого бизнеса или 7% глобального оборота для крупных корпораций, вроде Meta или Google. Пример запрещенной практики – система социального скоринга граждан по поведению или ИИ, который незаметно для человека манипулирует его выбором.
За нарушение требований к системам высокого риска – до 15 миллионов евро или 3% оборота. За предоставление недостоверной информации регулятору – до 7,5 миллионов евро или 1,5% оборота.
– Сценарий с GDPR повторяется?
– Да. Когда приняли GDPR, бизнес говорил: «Это Европа, нас не касается». Потом пошли реальные штрафы – Meta в 2023 году получила рекордные 1,2 миллиарда евро за нарушение правил передачи данных европейских пользователей. После этого все побежали приводить процессы в порядок. С компаниями из Центральной Азии публично известных прецедентов пока почти не видно, но сам механизм уже работает – и по географии исключений не делает. С AI Act будет так же.
Совету директоров не нужно ждать, пока регулятор постучит в дверь. Уже сейчас пора провести инвентаризацию своих ИИ-систем, классифицировать их по уровню риска и выстроить системное управление – с ответственными, контролем моделей и регулярной переоценкой.
Минимальный набор действий:
- составить реестр всех ИИ-систем в компании;
- оценить каждую по уровню риска;
- назначить ответственного за AI governance;
- выстроить процедуру валидации моделей перед запуском и мониторинга после;
- встроить все это в существующую систему управления рисками.
Лучше сделать это по уму один раз, чем потом перестраивать под давлением.
«ИИ должен быть вшит в ИТ-стратегию компании»
– А как обстоят дела с регулированием ИИ в нашем регионе – Казахстане, Узбекистане, странах Кавказа?
– Казахстан сделал серьезный шаг. В ноябре 2025-го в стране приняли Закон «Об искусственном интеллекте» – первый в Центральной Азии. Создано Министерство искусственного интеллекта. Наш закон, думаю, во многом вдохновлен EU AI Act: он обязывает бизнес классифицировать ИИ-системы по уровню риска, обеспечивать прозрачность алгоритмов, маркировать ИИ-генерируемый контент и проводить аудит систем высокого риска. По сравнению с EU AI Act, казахстанский закон мягче: менее детализированные требования, пока нет сопоставимых штрафов, отсутствует обязательная оценка соответствия до вывода на рынок. Но направление движения – то же.
Но система управления ИИ пока отстает от внедрения. Казахстанский закон – хороший сигнал, но аудиторов ИИ-систем пока нет, как и экспертизы для оценки моделей. В остальных странах ситуация еще более фрагментированная. Тем не менее международные стандарты придут к нам неизбежно – через международных партнеров, инвесторов, банки. Вопрос только во времени.
– Давайте поговорим о данных – насколько их качество критично для успеха ИИ-проектов?
– Это фундамент. Можно выбрать лучшую модель и лучших специалистов, но если данные грязные, неполные, смещенные, результат будет таким же. Только в контексте ИИ ошибка влияет не на отчет, а на решение: кредитное, кадровое или медицинское. Регуляторы в разных странах прямо требуют обеспечивать качество обучающих данных, их репрезентативность, отсутствие предвзятости. Для многих компаний в нашем регионе станет болезненным открытием то, что у них просто нет инфраструктуры для управления качеством данных на таком уровне. А без этого фундамента любая ИИ-инициатива превращается в замок на песке.
– Многие компании говорят: «Мы уже запустили пилотные ИИ-проекты». Этого достаточно для реального результата?
– Пилотов много, но результатов мало. По данным KPMG Global AI Pulse Survey, лишь 11% компаний действительно масштабируют ИИ на уровне всей организации. Остальные застревают на стадии экспериментов. Причины типовые: нет поддержки на уровне CEO, нет связи с бизнес-стратегией, нет контроля моделей после запуска. Деньги потрачены, ROI отрицательный, доверие к теме внутри компании подорвано.
– Как должно быть правильно?
– ИИ должен быть вшит в ИТ-стратегию компании, а та, в свою очередь, в общую корпоративную стратегию. Совету директоров важно задавать менеджменту базовые вопросы: в какие процессы мы внедряем ИИ и зачем, какие риски принимаем, кто отвечает за контроль моделей, где наши данные и какого они качества? Существуют зрелые подходы – концепции Responsible AI, фреймворки вроде Trusted AI от KPMG и аналогичные модели. Суть общая: ИИ должен быть управляемым, подотчетным и встроенным в корпоративную систему управления рисками как часть архитектуры бизнеса.
Следующая большая волна – это управление ИИ. Зрелость подхода к ИИ будет влиять на конкурентоспособность: компании с прозрачными, управляемыми системами получат доступ к капиталу, к международным рынкам, к доверию клиентов.
Для советов директоров это конкретный набор действий: встроить ИИ-инициативы в стратегию, назначить ответственного на уровне C-suite, провести инвентаризацию систем и классифицировать по риску, инвестировать в качество данных, начать готовиться к регуляторным требованиям заранее. Если раньше вокруг финансов сформировалась индустрия аудита, то сейчас вокруг ИИ формируется индустрия доверия, и советам директоров важно стать ее частью.