הבינה המלאכותית לא תנהל את עצמה: על ממשל תאגידי בעידן ה-AI

בשנים האחרונות חדלה הבינה המלאכותית להיות רק מנוע של חדשנות ויעילות. היא הפכה, במקביל, גם לשאלה של ממשל תאגידי. אם בעבר היה אפשר להתייחס לכלי AI כאל עוד רכיב טכנולוגי במערכות הארגון, כיום ברור שהמבט הזה צר מדי. בינה מלאכותית משפיעה על תהליכי עבודה, על קבלת החלטות, על יחסי ספק-לקוח, על פרטיות, על אבטחת מידע, על עובדים, על מוניטין, ולעיתים גם על זכויות יסוד. לכן, השאלה איננה רק איזה כלי הארגון מבקש לאמץ, אלא איזה משטר ניהולי הוא בונה סביבו. במונחי ESG, הדיון בבינה מלאכותית נוגע ישירות לממד ה-Governance, האופן שבו ארגון מקבל החלטות, מחלק סמכויות, מפקח על סיכונים, מנהל ספקים, ומוודא שהשימוש בטכנולוגיה נעשה באופן אחראי ובר-שליטה.

מוקד הסיכון ב-AI: לא האלגוריתם, אלא הממשל הארגוני

הדיון הציבורי על AI נוטה להתמקד בהטיה, בשקיפות, באתיקה או בסיווג רגולטורי. כל אלה חשובים, אך אינם ממצים את תמונת הסיכון. במציאות הארגונית, כשלים בדרך כלל אינם מתחילים בדיון עיוני על צדק אלגוריתמי. הם מתחילים הרבה קודם: מנהל שמאמץ כלי ללא בדיקה מספקת, עובד שמזין מידע רגיש למערכת חיצונית, יחידה עסקית שמשתמשת ב-Generative AI (בינה מלאכותית יוצרת) מול לקוחות ללא בקרה, או התקשרות עם ספק AI מבלי להבין היכן מתבצע העיבוד, האם הנתונים משמשים לאימון, מי הספקים המשניים ומהן מגבלות האחריות.

כאן בדיוק נכנס הממשל התאגידי. לא כסיסמה רכה על ״שימוש אחראי״, אלא כמסגרת ממשית של סמכויות, נהלים, בקרה ופיקוח. ארגון שמטמיע AI בלי מנגנון ממשל מתאים אינו רק נוטל סיכון משפטי, הוא מאפשר לטכנולוגיה להיכנס מהר יותר מהיכולת הניהולית להכיל, להבין ולתחום אותה.

ה-AI Act של האיחוד האירופי ממחיש היטב את גבולות הרגולציה. מדובר במסגרת חשובה, המבקשת להסדיר סיכונים, לקבוע חובות ולהבחין בין סוגי שימושים ומודלים. כך, למשל, שימוש במערכת AI לצורך סינון מועמדים לעבודה או הערכת עובדים עשוי להיחשב ״שימוש בסיכון גבוה״, המחייב מנגנוני ניהול סיכונים, תיעוד, פיקוח אנושי, דרישות ביחס לאיכות נתונים ושקיפות מתאימה.

לצד זאת, מסגרות רכות יותר, כמו מסגרת ניהול סיכוני הבינה המלאכותית של NIST, המכון האמריקאי הלאומי לתקנים וטכנולוגיה, מציעות לארגונים שפה מעשית לניהול סיכונים גם כאשר אין חובה משפטית ישירה. NIST אינה פועלת כרגולטור מחייב, אלא כגוף תקינה והכוונה, והמסגרת שלה בנויה סביב פעולות ניהוליות כגון מיפוי ההקשר שבו נעשה שימוש ב-AI, מדידת הסיכונים וביצועי המערכת, ניהול הסיכונים לאורך זמן והטמעת מנגנוני ממשל ארגוניים. במובן זה, NIST מסייעת לתרגם עקרונות כלליים של אמינות, פיקוח ובקרה לשפה ניהולית שאותה ניתן ליישם בתוך הארגון.

ועדיין, אף אחת מן המסגרות הללו אינה יכולה להחליף את עבודת הממשל הפנימית של הארגון: מי מוסמך לאשר כלי, מי בוחן סיכונים, מי חותם על התקשרויות, מי מפקח על שימושים בפועל, וכיצד מדווחים להנהלה ולדירקטוריון. במילים אחרות, רגולציה יכולה לחייב, להכווין ולהרתיע. היא אינה יכולה לנהל את הארגון מבפנים.

הכשל הניהולי: בין מדיניות להיעדר יישום

בארגונים רבים, הפער המרכזי אינו היעדר מודעות לחשיבות של שימוש אחראי ב-AI, אלא היעדר תרגום של מודעות זו למנגנוני עבודה מחייבים. לעיתים קיימת מדיניות כללית, מצגת הדרכה או הצהרה עקרונית על חדשנות אחראית, אך בפועל אין תהליך ברור לאישור כלים, אין רישום מסודר של שימושים, אין חלוקת אחריות בין היחידות, ואין בקרה שוטפת על מה שהעובדים עושים בפועל. במצב כזה, הארגון עשוי להיראות כמי שמנהל את סיכוני ה-AI, אך למעשה הוא מסתמך על שיקול דעת מקומי, יוזמות נקודתיות ותגובה בדיעבד. זהו בדיוק הפער שבין מדיניות לבין ממשל תאגידי אפקטיבי. אם כך, מה כולל ממשל תאגידי ראוי בתחום הבינה המלאכותית?

המסגרת הנדרשת: פתרונות מעשיים לממשל תאגידי אפקטיבי בעידן ה-AI

ראשית, נדרשת מדיניות AI ארגונית. לא מסמך הצהרתי, ולא קוד אתי כללי מדי, אלא מסגרת עבודה ברורה: מי רשאי להשתמש באילו כלים, לאילו מטרות, באילו תנאים, איזה מידע מותר או אסור להזין, כיצד יש לאמת תוצרים ועוד. מדיניות כזו נבחנת ביכולת ליישם אותה ביום עבודה רגיל. אם היא אינה תפעולית, היא אינה באמת מדיניות.

שנית, יש צורך בהליך אישור מסודר לכלי AI. בארגונים רבים הכלים נכנסים ״מהשטח״, ורק בדיעבד מגלים עליהם הייעוץ המשפטי, אבטחת המידע או ההנהלה. זהו כשל ניהולי קלאסי. כלי AI, במיוחד כאלה שמעבדים מידע אישי, מידע עסקי רגיש, משתלבים במערכות ליבה או מייצרים תוצרים המופנים ללקוחות, צריכים לעבור מסלול בחינה מובנה: צורך עסקי, בחינת סיכונים, בדיקת ספק, תנאי שימוש, היבטי פרטיות ואבטחת מידע, בקרות אנושיות, והחלטה מתועדת אם לאשר, להגביל או לאסור את השימוש. גישה זו עולה בקנה אחד עם מסגרת ניהול סיכוני ה-AI של NIST, המדגישה כי ניהול סיכוני AI מחייב מנגנוני ממשל, חלוקת תפקידים ואחריות, ותהליכים ארגוניים החלים גם על שלבי הרכש, האישור וההטמעה של מערכות AI.

לצד זאת, נדרשת גם בחינה חוזית ועסקית רצינית של ספקי AI. יותר מדי ארגונים בוחנים ספק AI כאילו היה עוד שירות SaaS (Software as a Service - תוכנה כשירות) סטנדרטי. זו טעות. התקשרות עם ספק AI מעוררת שאלות ייחודיות: האם הקלטים או הפלטים משמשים לאימון; האם יש ספקי משנה; היכן מתבצע העיבוד; מהן זכויות השימוש של הספק; אילו התחייבויות ניתנות ביחס למחיקה, הפרדה, אבטחה ובקרה; ומה קורה כאשר הארגון מסתמך על תוצר שגוי או מטעה. לא כל סיכון ניתן לפתור בחוזה, אך חוזה דל או לא מותאם מגדיל את החשיפה ומעביר לארגון סיכונים שלא תמיד זוהו מראש.

צעד נוסף שכדאי לשקול הוא הקמת ועדת היגוי או פורום בין-תחומי ל-AI, משום שבינה מלאכותית חוצה תחומים באופן מובנה: טכנולוגיה, משפט, פרטיות, סייבר, רכש, משאבי אנוש, מוצר וניהול סיכונים. כאשר כל פונקציה בוחנת את הסוגיה רק מן הזווית שלה, הארגון מאבד את התמונה הכוללת. פורום אפקטיבי אינו חייב להיות מסורבל, אך הוא כן צריך לשמש מוקד מוסדי לדיון בכלים חדשים, למקרי קצה, לקביעת עקרונות ולגיבוש שפה ארגונית אחידה.

בנוסף לכך, יש להגדיר נכון את תפקידי ההנהלה והדירקטוריון. לא כל החלטה על כלי AI צריכה להגיע לדירקטוריון, והוא בוודאי אינו אמור לבחור בין ספקי צ'אטבוטים. אך בהחלט מצופה ממנו להבין את פרופיל הסיכון הארגוני בתחום, לוודא שקיימת מסגרת בקרה מספקת, לשאול אילו שימושים רגישים מבוצעים בפועל, כיצד מנוהלים ספקים, וכיצד מדווחים על תקריות, כשלים או חריגות.

לבסוף, אין ממשל אפקטיבי בלי אוריינות AI והכשרה פנימית. מדיניות שלא תורגמה להדרכה ולהבנה מעשית היא בסופו של דבר רק קובץ. עובדים צריכים להבין לא רק מה מותר ומה אסור, אלא גם מתי לעצור, מתי לשאול, וכיצד נראית טעות אופיינית בשימוש בכלי שנראה משכנע מדי. כך, למשל, פורסם כי Accenture הכשירה מאות אלפי עובדים בשימוש ב-Generative AI. הדוגמה הזו ממחישה כי אימוץ AI אינו מסתכם בהנגשת כלי לעובדים, אלא מחייב פיתוח כשירות מעשית לשימוש נכון, ביקורתי ואחראי. ברוב המקרים, הסיכון הארגוני אינו נובע מזדון אלא מביטחון יתר בכלי שאינו ראוי לאמון אוטומטי.

סיכום

ממשל תאגידי אמיתי מחייב פיקוח מתמשך, לא אישור חד-פעמי. כלי שאושר בתחילת השנה אינו בהכרח אותו כלי בהמשכה. מודלים משתנים, יכולות מתרחבות, תנאי שימוש מתעדכנים, ועובדים מוצאים שימושים חדשים שלא נחזו מראש. לכן ארגון אחראי אינו מסתפק באישור הראשוני. הוא מנהל רישום שימושים, מקיים בחינות תקופתיות, בודק אירועים וכמעט-אירועים, ומעדכן את המדיניות בהתאם לניסיון המצטבר.

האתגר המרכזי של ארגונים בעידן הבינה המלאכותית אינו רק ציות לרגולציה, אלא בניית מסגרת פנימית של שליטה. ממשל תאגידי בתחום ה-AI איננו שכבת ניירת שמצטרפת לחדשנות, אלא התנאי שמאפשר לחדש מבלי לאבד שליטה. הארגון הבשל אינו זה שאוסר על הכל, וגם לא זה שמאפשר לכל יחידה להתנסות כרצונה. הארגון הבשל הוא זה שמבין כי אימוץ טכנולוגיה, בלי אחריות, נהלים ופיקוח, אינו ניהול, אלא הימור.

ד״ר יובל ריינפלד, אוניברסיטת רייכמן, יו״ר (משותף) ועדת בינה מלאכותית בלשכת עו״ד, וחבר בפורום המומחים הלאומי לבינה מלאכותית.