У крупных компаний уже формируется должность Директор по искусственному интеллекту (CAIO) — человек, отвечающий за стратегию внедрения ИИ и ценность для бизнеса

Есть странная корпоративная закономерность: как только технология перестает быть «пилотом для энтузиастов» и становится инфраструктурой, у нее появляется надзор. Сначала она просто «помогает», потом «влияет на деньги», затем «влияет на репутацию», а дальше уже влияет на все, и внезапно выясняется, что без ответственного взрослого в комнате нельзя.

За последние два года генеративный ИИ перескочил из игрушки для текста в универсальный слой автоматизации: он пишет, суммирует, классифицирует, подсказывает решения, ранжирует, обслуживает клиентов и сотрудников, а местами уже управляет процессами через агентные сценарии. По данным McKinsey, в начале 2024 года 65% респондентов сообщили, что их организации регулярно используют генеративный ИИ. Чем шире внедрение, тем ближе вопрос не «что умеет модель», а «кто несет ответственность за ее ошибки».

Почему «ИИ-риски» — это не только про этику

В корпоративной реальности риски ИИ — это три больших блока, и все три неприятны.

Первый — классические «управленческие» риски: смещения (bias), «галлюцинации», непредсказуемость поведения модели при смене данных/контекста, деградация качества, юридические последствия.

Второй — риски безопасности в прямом смысле: атаки на модели, отравление данных, извлечение чувствительной информации из подсказок и контекста, компрометация цепочек поставок (модель/провайдер/плагины/агенты). На фоне того, что киберпреступность в целом дорожает, Cybersecurity Ventures оценивали глобальные издержки в $10,5 трлн в год к 2025 году, любое новое «слабое место» мгновенно монетизируется. 

Третий — регуляторный. Если раньше компании спорили о слове «этика», то теперь спорят о слове «штраф». Общеевропейский регламент об искусственном интеллекте закрепляет существенные санкции за нарушения: в ряде случаев речь может идти о до €35 млн или до 7% мирового оборота (в зависимости от категории нарушения). Даже если бизнес не работает в ЕС, партнеры и заказчики начинают «привозить» требования в контрактах, как когда-то привезли Общий регламент по защите данных (GDPR).

Что именно будет делать «директор по рискам ИИ»

У крупных компаний уже формируется должность Директор по искусственному интеллекту (CAIO) — человек, отвечающий за стратегию внедрения ИИ и ценность для бизнеса. IBM, например, описывает роль CAIO как связующее звено между бизнесом и технологией и фиксирует, что там, где CAIO встроен в управление, компании чаще видят измеримый эффект от инвестиций в ИИ. 

Но здесь появляется конфликт интересов: тот, кто отвечает за рост и показатель рентабельности инвестиций (ROI), редко бывает лучшим кандидатом на роль «главного тормоза» и «главного скептика». В этот момент и возникает идея отдельной функции — директор по рискам искусственного интеллекта (CAIRO): руководителя, который отвечает не за «внедрить больше ИИ», а за «внедрить так, чтобы не сгореть». ISACA прямо описывает CAIRO как новую роль, которая закрывает риски ИИ, на которые у CAIO не хватает ресурса, и подчеркивает, что эта позиция может стать столь же важной, как классические риск-функции. 

Если перевести концепцию на язык корпоративной практики, CAIRO — это не «моральный камертон», а владелец системы управления рисками ИИ по жизненному циклу. От инвентаризации моделей и кейсов до мониторинга качества и расследования инцидентов. Здесь полезно смотреть на то, как мир уже стандартизирует управление рисками ИИ. Во-первых, практическая рамка инженерии доверия к системам ИИ (NIST AI RMF) 1.0 предлагает структуру управления ИИ-рисками через функции «govern, map, measure, manage» — то есть управлять, описывать контекст, измерять и контролировать.

Во-вторых, Международная организация по стандартизации (ISO) выпустила ISO/IEC 42001:2023 — первый международный стандарт системы менеджмента ИИ, где управление рисками и контролями становится «процессом», а не разовыми согласованиями. 

На практике это выльется в понятные «артефакты» и процессы: реестр ИИ-кейсов, правила данных, требования к объяснимости, политика тестирования, «красные команды» для модели, сценарии реагирования на инциденты, контроль поставщиков и внешних моделей, требования к логированию, аудит. И — важный момент — в постоянный мониторинг. Потому что ИИ не статичен: он меняется вместе с данными, контекстом, интеграциями и людьми, которые используют его «творчески».

Отсюда логично появляется концепция AI control room: центра наблюдения за тем, что модели делают в продакшене, где они ошибаются, какие решения принимают, где начинаются системные отклонения. Это не футуризм; это естественный ответ на то, что ИИ становится «цифровым сотрудником», а у цифрового сотрудника тоже должен быть руководитель по рискам.

Почему именно сейчас: доска директоров уже в теме

Показательно, что вопрос управления ИИ поднимается на уровень генерального директора и советов директоров. В отчете McKinsey 2025 года отмечается, что часть компаний уже фиксирует ответственность за AI governance (система правил, ролей и процессов, которая позволяет компании безопасно и предсказуемо использовать ИИ)  на CEO и/или совете директоров. Это важный сигнал: система перестает быть «делом айтишников» и становится частью корпоративного управления.

А дальше включается старая корпоративная механика: как только у совета директоров появляется регулярная повестка, у нее появляется владелец. С главным офицером по информационной безопасности (CISO) это произошло, когда киберинциденты стали новостями и финансовыми событиями. С директором по рискам искусственного интеллекта (CAIRO) происходит то же — просто инциденты пока чаще выглядят как «неловкая история с моделью», а не как «остановка бизнеса». Но рынок быстро научится упаковывать их в деньги.

Есть три жизнеспособных модели подчинения. Первая — под главным офицером по информационной безопасности, если компания рассматривает ИИ как часть поверхности атаки и риск-профиля безопасности. Это логично там, где ИИ встраивается в критичные процессы, инфраструктуру, промышленность и клиентские каналы.

Вторая — под оптимизацией конверсии (CRO)/риск-функцией или комплаенсом, если основной драйвер — регуляторика и ответственность перед внешними стейкхолдерами.

Третья — генеральному директору/совету директоров, если ИИ становится ключевым конкурентным преимуществом, а риски — стратегическими.

ISACA как раз указывает, что директор по рискам искусственного интеллекта может репортить и в сторону CAIO, и в сторону риск-функции, и выше, в зависимости от зрелости и масштаба. 

Что делать компаниям уже сейчас, чтобы не «достраивать роль на пожаре»

Самый прагматичный вывод: CAIRO не обязательно нанимать завтра утром — но функцию управления рисками ИИ создавать нужно уже сейчас, иначе она появится потом, в режиме кризисного штаба.

Если перевести это на план действий, он начинается с простого: понять, где ИИ уже используется «снизу», завести реестр кейсов, определить критичность, назначить владельцев, описать минимальные контроли, настроить мониторинг качества и инцидентов. Это похоже на кибербезопасность двадцать лет назад: сначала никто не хотел «лишней бюрократии», потом все удивлялись, почему ее не было.

ИИ — это технология, которая умеет производить смысл. А смысл — штука дорогая и токсичная одновременно: он влияет на решения людей. Поэтому «директор по рискам ИИ» — не модная должность, а попытка вернуть в систему управления тот самый человеческий здравый смысл, который мы так старательно автоматизируем.

Алексей Пилипчук

технический директор «Софтлайн Решения» (ГК Softline)