Tekoälyn riskienhallinta yrityksessä: milloin pitää pysähtyä arvioimaan

Miten tekoälyn riskienhallintaa tehdään käytännössä yrityksessä? Näin erotat kevyet kokeilut niistä tilanteista, jotka tarvitsevat erillisen arvioinnin.

11 min lukuaika
AI-avusteinen · Tarkistanut: Aimiten tiimi

Tekoälyn riskienhallinta ei tarkoita sitä, että kaikki pysäytetään varmuuden vuoksi. Sen tarkoitus on erottaa toisistaan käyttötapaukset, joissa tekoälyä voidaan käyttää turvallisesti tehostamaan yrityksen toimintaa, ja tilanteet, jotka vaativat enemmän harkintaa ennen kuin niitä voi jalkauttaa päivittäiseen käyttöön tai tuoda tuotantoon.

  • Riskienhallinnan tehtävä on luokitella, ei estää kaikkea käyttöä
  • Tärkeimmät kysymykset liittyvät dataan, lopputuloksen vaikutukseen, ihmisen rooliin ja automaation asteeseen
  • Sama asia voi muuttua olennaisesti, jos mukaan tulee integraatio, automaatio tai uusi datalähde
  • Paras tulos syntyy silloin, kun arviointi kytketään hallintamalliin eikä jätetä irralliseksi tarkistuslistaksi

Mitä tekoälyn riskienhallinta tarkoittaa käytännössä

Käytännössä riskienhallinta tarkoittaa yksinkertaisesti sitä, että kaikki tekoälyn käyttö ei mene samaan koriin. On eri asia käyttää tekoälyä sisäiseen ideointiin, kokousmuistioiden tiivistämiseen tai analyysin ensimmäisiin luonnoksiin kuin käyttää sitä asiakasviestinnässä, rekrytoinnissa, sopimusluonnoksissa tai päätösehdotuksissa.

Jos kaikki käsitellään samalla tavalla, lopputulos on yleensä huono jommasta kummasta suunnasta. Joko jokainen asia viedään liian raskaaseen käsittelyyn ja käyttö hidastuu turhaan. Tai vaihtoehtoisesti kaikki saa mennä vapaasti läpi, vaikka osa tilanteista vaikuttaisi asiakkaisiin, työntekijöihin tai liiketoiminnan päätöksiin.

Hyvä riskienhallinta tekee kaksi asiaa yhtä aikaa. Se mahdollistaa nopeat kokeilut siellä missä riskit ovat rajattuja. Samalla se tunnistaa tapaukset, joissa mukaan tulee enemmän vaikutusta, herkempää dataa tai automaatiota. Tällöin pitää pysähtyä hetkeksi ja katsoa käyttöä tarkemmin ennen kuin sitä laajennetaan.

Tietyt käyttötavat tunnistetaan korkeaksi riskiksi suoraan sääntelyn perusteella. EU AI Act luokittelee esimerkiksi rekrytoinnin pisteyttämisen, työntekijöiden suorituksen automaattisen arvioinnin ja luottopäätökset korkean riskin käyttötapauksiksi (tarkemmin EU AI Act -oppaassamme).

Sääntelyn nimeämien tapausten lisäksi jokaisen yrityksen kannattaa miettiä itse, mitkä omat käyttötapaukset kuuluvat omalla toimialalla korkean riskin kategoriaan. Toimiala, asiakaskunta ja sopimusvastuut määrittävät tason. Sama käyttötapa voi olla yhdelle pk-yritykselle kevyt avustaminen ja toiselle suoraan ydinprosessin päätös, ja sen tunnistaminen kuuluu yrityksen omaan vastuuseen.

Lyhyt vastaus johtoryhmälle

Tekoälyn käytön riskejä ei kannata hallita yhdellä mallilla, vaan miettiä missä käyttötapauksissa riskit ovat minimaaliset ja missä taas tarvitaan selkeästi tarkempaa riskien hallintaa ja ymmärrystä.

Datariski, päätösriski ja mainevaikutus

Käytännössä kolme riskilajia toistuu kaikkein useimmin. Ensimmäinen on datariski: mitä aineistoa tekoälylle annetaan ja millä ympäristöllä sitä käsitellään. Toinen on päätösriski: vaikuttaako tekoäly suoraan tai epäsuorasti siihen, miten asiakkaista, työntekijöistä tai liiketoiminnasta tehdään päätöksiä. Kolmas on maine- ja virheriski: mitä tapahtuu, jos lopputulos on uskottava mutta väärä.

Riski Tyypillinen esimerkki Mitä kannattaa tarkistaa ensin
Datariski Asiakas- tai henkilöstöaineiston käsittely AI-palvelussa Onko kyseessä hyväksytty yrityspalvelu vai avoin työkalu, ja mitä sopimus sanoo datan käytöstä
Päätösriski Tekoäly tukee valintaa, priorisointia tai päätösehdotusta Kuka tarkistaa lopputuloksen ja millä perusteella
Maineriski Asiakkaalle lähtevä sisältö tai julkaistava materiaali Onko tarkistus pakollinen ennen ulospäin menemistä
Automaatiotriski Tekoäly käynnistää toimia liittimien tai työnkulkujen kautta Mitä tapahtuu jos virhe etenee ennen ihmistä

Datariski on usein helpoin huomata, mutta päätösriski jää yllättävän usein piiloon. Erityisesti HR, asiakasviestintä, sopimusluonnokset, hinnoittelun valmistelu ja automaattiset priorisoinnit ovat tilanteita, jotka voivat näyttää kevyiltä mutta sisältää enemmän vaikutuksia kuin ensi silmäyksellä huomaa.

Henkilötiedot vaativat oman tietosuoja-arvionsa

Jos käyttötapa käsittelee henkilötietoja, kyseessä ei ole enää vain tekoälyriski vaan myös tietosuojakysymys. GDPR koskee käsittelyä teknologiasta riippumatta, joten tarkistettavaksi tulevat ainakin käsittelyn tarkoitus ja oikeusperuste, datan minimointi ja se, voiko lopputulos vaikuttaa yksittäiseen henkilöön. Erityistä varovaisuutta tarvitaan HR:ssä, asiakasprofiloinnissa, päätöstuessa tai automaattisessa priorisoinnissa. Lue lisää tekoälyn tietoturvasta.

Miten tekoälyn datariski eroaa muusta pilvityöstä

Yrityksen tietoja käsitellään jo valmiiksi monissa ulkoisissa palveluissa: sähköpostissa, dokumenttienhallinnassa, CRM:ssä, taloushallinnossa ja analytiikkapalveluissa. Siksi tekoälyn datariskiä ei kannata arvioida pelkän "tekoäly saa firman datan ja käyttää sitä" -mielikuvan kautta. Hyväksytty yritystason AI-palvelu voi tietoturvan ja sopimusten näkökulmasta muistuttaa muuta SaaS-työkalua.

Ero syntyy useammin käyttötavasta kuin tallennuspaikasta. Tekoälyssä muuttuu tyypillisesti tämä:

  • Promptiin voi kopioitua laajoja tekstimassoja, kokonaisia sopimuksia tai asiakasviestejä ilman että käyttäjä huomaa määrää
  • Lopputulos voi näyttää varmalta vaikka on väärä, ja virhe voi päästä päätöksiin tai asiakasviestintään
  • Tekoäly ei pelkästään säilytä tietoa vaan muokkaa, tiivistää ja päättelee tavoilla, joita ei aina huomaa
  • Integraatiot voivat yhdistää dataa useista lähteistä ja kasvattaa vaikutusalaa
  • Agentit ja automaatiot voivat käynnistää toimia, eivät vain tuottaa tekstiä

Tämä ei tarkoita, että jokainen tekoälyn käyttö olisi riski. Hyväksytty yritystason palvelu selkeillä sopimuksilla ja datakontrolleilla on lähempänä muuta pilvityötä kuin hallitsematonta datan lähettämistä ulos. Riskienhallinnan tehtävä on erottaa nämä toisistaan, ei kieltää kaikkea käyttöä.

Miten tunnistat käyttötavan riskitason

Kun riskityypit ovat tiedossa, seuraava vaihe on selvittää, mihin oma käyttötapaus sijoittuu. Useimmiten arviointiin ei tarvita pitkää lomaketta. Aimitenin riskien pikaluokittelussa nojaamme neljään kysymykseen: mitä dataa siinä liikkuu, mihin lopputulos menee, kuinka itsenäisesti tekoäly toimii ja mikä on virheen mahdollinen vaikutus. Näillä pääsee nopeasti eroon tilanteesta, jossa jokaista käyttötapaa käsitellään fiilispohjalta.

Aimitenin riskien pikaluokittelu

Vastaa neljään kysymykseen ja katso, voiko tilannetta käsitellä kevyenä kokeiluna vai pitääkö se pysäyttää erilliseen arviointiin.

Pikaluokittelu

Millaista dataa käyttötapa käsittelee?

Tämä on useimmiten ensimmäinen asia, joka kannattaa tarkistaa.

Mihin lopputulos menee?

Mitä lähemmäs asiakasta, työntekijää tai virallista dokumenttia mennään, sitä vähemmän riittää pelkkä hyvä aikomus.

Kuinka itsenäisesti tekoäly toimii?

Kaikki tekoälyn käyttö ei ole automaatiota. Tämä kysymys erottaa avustamisen ja itsenäisemmän toiminnan.

Mikä on virheen mahdollinen vaikutus?

Kun vaikutus kasvaa, kyse ei ole enää vain käytöstä vaan myös hallintamallista.

Täydennä kaikki neljä kohtaa

Lopputulos näyttää, milloin politiikka riittää ja milloin tarvitaan selkeämpi arviointi ennen käyttöönottoa.

0 / 4 vastattu

Milloin ihmisen pitää oikeasti olla mukana

“Ihminen tarkistaa” kuulostaa yksinkertaiselta, mutta käytännössä se voi tarkoittaa hyvin eri asioita. Toisessa ääripäässä ihminen oikeasti arvioi lopputuloksen ennen kuin mitään tapahtuu. Toisessa ääripäässä ihminen on nimellisesti mukana, mutta käytännössä hyväksyy lähes kaiken automaattisesti. Riskienhallinnan kannalta näitä ei pidä sekoittaa.

  • Sisäinen luonnostelu: kevyt tarkistus riittää usein, jos lopputulos ei lähde organisaation ulkopuolelle
  • Asiakasviestintä ja julkaistava materiaali: tarkistuksen pitää olla tietoinen ja vastuullinen, ei vain muodollinen
  • HR, sopimukset ja päätösehdotukset: ihmisen pitää ymmärtää myös mistä lopputulos tuli, ei vain lukea viimeistä versiota
  • Automaatioissa: on eri asia tuottaa luonnos, käynnistää toimenpide tai tehdä päätös automaattisesti

Ihmisen tarkistus ei ole taikasana

Jos tarkistaja ei ymmärrä mistä on kyse, aikaa on liian vähän tai tekoälyn tuotokset hyväksytään käytännössä rutiinilla, ihmisen mukanaolo ei enää poista riskiä sillä tavalla kuin paperilla näyttää.

Mitä arvioinnin jälkeen pitää tehdä

Riskien arviointi ei ole valmis silloin, kun käyttötapa on luokiteltu kevyeksi, ohjatuksi tai syvempää käsittelyä vaativaksi. Sen jälkeen pitää päättää vähintään kolme asiaa: saako käyttö jatkua, millä ehdoilla ja kuka omistaa seurannan.

Kevyessä käytössä tämä voi tarkoittaa vain hyväksyttyä työkalua ja selkeitä käyttörajoja. Ohjatussa käytössä tarvitaan yleensä nimetty vastuuhenkilö, sovitut tarkistuspisteet ja kevyt dokumentointi päätöksestä. Syvemmässä käsittelyssä mukaan tulevat usein tietoturva, juridiikka, hankinta tai liiketoimintajohto, ja päätökseen sisältyy myös seurantarytmi.

Sama logiikka näkyy myös kansainvälisissä kehyksissä. NIST AI RMF jakaa riskienhallinnan neljään toistuvaan funktioon: hallinta, kartoitus, mittaaminen ja seuranta. Kaikki neljä ovat osa jatkuvaa työtä, eivät kertaluonteista tarkistusta. Itse hallintamallin rakentaminen on oma kysymyksensä, tämän sivun rooli on kertoa kuinka käyttötapa arvioidaan ja mitä päätös synnyttää. Jos yrityksessä tarvitaan vielä järjestelmällisempi rakenne ja sitä pitää pystyä osoittamaan ulospäin, luonteva seuraava askel on ISO 42001 -standardikehys.

Esimerkkejä eri toiminnoista

Sama logiikka toistuu eri toiminnoissa, mutta riskit painottuvat eri tavalla. Markkinoinnissa suurin riski on usein maine ja faktavirheet. Myynnissä ja asiakasviestinnässä mukaan tulee asiakasrajapinta. Taloudessa korostuvat luottamuksellisuus ja tulkintavirheet. HR:ssä taas työntekijävaikutus ja oikeudenmukaisuus nousevat nopeasti keskiöön.

Markkinointi

Sisäinen ideointi ja luonnokset ovat yleensä kevyempiä. Julkaistava sisältö, brändipuhe ja faktatarkkuus nostavat arviointitarvetta. Lue myös tekoäly markkinoinnissa.

Myynti ja asiakasviestintä

Muistiinpanot ja valmistelu voivat olla kevyttä käyttöä, mutta asiakkaalle lähtevä materiaali ja personoitu viestintä tarvitsevat yleensä selvemmän tarkistusmallin.

Talous ja hallinto

Tiivistykset, analyysin ensimmäiset luonnokset ja raporttien valmistelu voivat olla hyödyllisiä, mutta luottamuksellinen aineisto ja päätösvaikutus nostavat asian nopeasti erilliseen arviointiin.

HR ja henkilöstö

Perehdytysmateriaalit ja sisäinen viestintä voivat olla kevyempiä, mutta rekrytointi, arviointi ja henkilötietojen käsittely vaativat yleensä paljon enemmän harkintaa.

Usein kysytyt kysymykset

Tarkoittaako riskienhallinta sitä, että tekoälyn käyttöä pitää hidastaa?

Ei. Riskienhallinnan tarkoitus on erottaa kevyt käyttö niistä tilanteista, jotka tarvitsevat pysähdyksen ennen laajempaa käyttöönottoa. Parhaimmillaan se nopeuttaa järkevää käyttöä ja estää vain huonosti rajattuja ratkaisuja.

Riittääkö ihmisen tarkistus aina poistamaan riskin?

Ei aina. Ihmisen tarkistus auttaa paljon, mutta jos mukana on herkkää dataa, asiakas- tai työntekijävaikutusta, automaatiota tai päätösehdotuksia, tarvitaan usein myös selkeämpi omistaja, dokumentointi ja yhteinen arvio.

Onko markkinoinnin tekoälykäyttö automaattisesti matalan riskin käyttöä?

Ei automaattisesti. Sisäinen ideointi ja luonnostelu ovat yleensä kevyempiä, mutta julkaistava sisältö, asiakasviestintä ja brändiin vaikuttava materiaali voivat nostaa asian arvioitavaksi.

Miten tämä liittyy EU AI Actiin?

EU AI Act käyttää omaa riskiperusteista logiikkaansa, mutta organisaation sisäinen riskienhallinta auttaa tunnistamaan, milloin tilanne on niin herkkä, että siihen pitää pysähtyä kunnolla. Lue tarkemmin EU AI Act -oppaastamme.

Milloin käyttötapa pitää nostaa erilliseen arviointiin?

Silloin kun mukaan tulee herkkää dataa, asiakas- tai työntekijävaikutus, automaatiota, uusia integraatioita tai päätösehdotuksia. Usein juuri tässä kohtaa pelkkä yleinen politiikka ei enää riitä yksinään.

Pitääkö GDPR huomioida tekoälyn riskienhallinnassa?

Kyllä, jos käyttötapa käsittelee henkilötietoja. Tekoälyn riskiluokittelu auttaa tunnistamaan tilanteet, joissa henkilötietoja käytetään, mutta se ei yksin ratkaise GDPR-vaatimuksia. Tällöin pitää tarkistaa esimerkiksi käsittelyn tarkoitus, oikeusperuste, datan minimointi ja se, voiko lopputulos vaikuttaa yksittäiseen henkilöön. GDPR koskee käsittelyä teknologiasta riippumatta, joten myös tekoälyä käytettäessä samat säännöt pätevät.

Tärkeimmät opit

  • Tekoälyn riskienhallinta tarkoittaa käytännössä luokittelua: mikä on kevyt kokeilu ja mikä tarvitsee erillisen arvioinnin.
  • Neljä tärkeintä kysymystä liittyvät dataan, lopputulokseen, automaation asteeseen ja virheen vaikutukseen.
  • Ihmisen tarkistus auttaa, mutta se ei yksin ratkaise kaikkea jos mukana on herkkää dataa, päätösehdotuksia tai asiakasvaikutusta.
  • Paras lopputulos syntyy, kun riskien pikaluokittelu kytketään hallintamalliin, politiikkaan ja tietoturvaan.
Lähteet
  1. [1] NIST AI RMF 1.0
  2. [2] NIST AI RMF Playbook
  3. [3] European Commission – Navigating the AI Act
  4. [4] OECD AI Principles
Sampsa Sironen
Sampsa Sironen · Co-Founder & CEO

KTM, AI/ML-kokemus vuodesta 2020. Rakennan AI-tuotteita ja testaan työkaluja päivittäin, jotta asiakkaidemme ei tarvitse.

LinkedIn
Jaa

Tarvitsetteko apua tekoälykäyttötapojen arviointiin?

Autamme erottamaan kevyet kokeilut niistä tilanteista, joissa tarvitaan selkeämpi arvio ennen käyttöönottoa.

Katso AI-konsultointiWhatsAppSoita

Sopii erityisesti tilanteisiin, joissa käyttö koskee asiakasdataa, henkilöstöä tai automaatiota