5.1 Общие положения
Задача системы управления рисками состоит в том, чтобы помочь интегрировать управление рисками в наиболее значимые виды деятельности и функции организации. Применяют положения ГОСТ Р ИСО 31000-2019 (подраздел 5.1).
Управление рисками включает в себя сбор соответствующей информации, необходимой организации для принятия решений и устранения рисков. Руководящий орган определяет общие тенденции к возникновению риска и ставит организационные цели, а также делегирует процесс принятия решений по выявлению, оценке и управлению рисками менеджерам внутри организации.
Организациям следует применять основанный на учете рисков подход к выявлению, оценке и пониманию рисков ИИ, которым они подвергаются, и принимать надлежащие меры по уменьшению рисков в соответствии с их уровнем. Цель системы управления рисками заключается в оказании организации содействия в интеграции управления рисками в значимые виды деятельности. Риски следует определять применительно к связанным с ИИ целям. Не все цели имеют отношение ко всем видам применения, и в зависимости от характера применения, возможно, потребуется поставить дополнительные цели. В 6.3 содержатся дополнительные рекомендации по постановке целей, специфичных для ИИ, и их значимости для систем ИИ (продуктов) и услуг ИИ предоставляющей их организации.
5.2 Лидерство и приверженность
Применяют положения ГОСТ Р ИСО 31000-2019 (подраздел 5.2).
В связи с особой важностью вопросов доверия и подотчетности, связанных с разработкой и использованием ИИ, руководству организаций следует рассмотреть вопрос о том, каким образом документация, касающаяся рисков ИИ и управления рисками, доводится до сведения заинтересованных сторон. Демонстрация такого уровня лидерства и приверженности может иметь решающее значение для уверенности заинтересованных сторон в том, что ИИ разрабатывается и используется ответственно.
Руководство организации также должно быть осведомлено о специализированных ресурсах, которые могут потребоваться для управления рисками ИИ, и распределять эти ресурсы надлежащим образом.
В соответствии с ГОСТ Р ИСО 31000-2019 (подраздел 5.2) управленческие и/или надзорные органы (где это применимо) должны документально оформить или стратегически разработать подход или план действий по управлению рисками. Применительно к организациям, предоставляющим продукты или услуги ИИ, в нем должно быть четко указано, какие риски, связанные с разработкой или применением систем ИИ, являются приемлемыми для организации. Такая политика должна также стимулировать членов организации указывать на существенные проблемы, такие как конфиденциальное использование систем ИИ самой организацией или ее клиентами и партнерами, содержать обязательство рассматривать варианты использования систем ИИ, которые будут соответствовать их принципам управления, и учитывать такие варианты для постоянного совершенствования процессов управления рисками.
5.3 Адаптация
Применяют положения ГОСТ Р ИСО 31000-2019 (подраздел 5.3).
5.4 Проектирование и разработка
5.4.1 Понимание организации и ее среды
Применяют положения ГОСТ Р ИСО 31000-2019 (5.4.1).