Риск-менеджмент
Зачем эта функция в ОМВИ
Не все ИИ-инициативы одинаково рискованны: внутренний ассистент по документам и автоматическое решение по клиенту — разные миры. ОМВИ опирается на принцип маршрутизации по уровню риска (BCG): простые кейсы идут по лёгкому self-service треку, средние — через trust-but-verify, значимые — через strategic review, недопустимые — prohibited. Кто-то должен присвоить инициативе риск-профиль и определить маршрут. Это и есть роль риск-менеджмента.
Риск-функция не дублирует ИБ и юристов, а агрегирует их заключения в единую оценку и связывает её с корпоративным аппетитом к риску.
Где подключается
| Этап ОМВИ | Роль риск-менеджмента |
|---|---|
| Оценка | Присваивает риск-рейтинг и маршрут согласования инициативы |
| Перед продом | Проверяет, что остаточные риски в пределах аппетита, фиксирует контроли |
| На поддержке | Мониторит реализовавшиеся риски, инциденты, дрейф моделей |
| Портфель | Сводит ИИ-риски в общий риск-профиль компании |
Что функция получает на вход
- Сценарий, влияние на клиентов, процессы и финансы.
- Заключения ИБ (угрозы) и юристов (регуляторика) как входные данные.
- Данные о критичности процесса и обратимости решений ИИ.
Что функция отдаёт на выход
- Риск-рейтинг инициативы и маршрут согласования через воронку.
- Перечень обязательных контролей (human-in-the-loop, лимиты, kill switch).
- Решение в рамках аппетита к риску: продолжать, ограничить или остановить.
Ключевые артефакты стыка
- Риск-профиль инициативы — рейтинг, маршрут, ключевые риски и контроли.
- Матрица маршрутизации — соответствие уровня риска и линии согласования.
- Реестр ИИ-рисков — портфельный взгляд на риски всех инициатив и продуктов.
Антипаттерны
- Один тяжёлый комитет на всё. Низкорисковые кейсы проходят тот же тяжёлый ревью, что и критичные — воронка забивается.
- Риск-оценка без контролей. Риск зафиксировали, но не назначили компенсирующие меры и мониторинг.
- Нет мониторинга в проде. Риск оценили один раз на входе и забыли про дрейф моделей и новые инциденты.