Miksi uusi hallintajärjestelmä on juuri se asia, jota emme haluaisi – ja juuri se, jota tarvitsemme?
Asiakasorganisaatiomme ovat opettaneet, ettei tekoäly ei ole tullut organisaatioihin projekteina. Se ei ole tullut budjetoituna investointina, hallittuna käyttöönottona, eikä go-live-päivänä. Se on ollut jo pidempään siellä – ilmaisena ChatGPT:nä työntekijän kännykässä, maksuttomana Copilotina M365:ssä, yhdellä jatkuvassa käytössä, toisella satunnaisella ja kolmannella jonain, mikä siellä on, mutta mihin ei kosketa, koska kiellettyä on.
Tekoälyä löytyy rekrytoinnissa, asiakaspalvelussa, myyntiprosessissa ja HR:n arjessa molemmin puolin pöytää – niin asiakkaalla kuin työntekijälläkin ja kumpaakin haastaen. Jotenkin se on hiipinyt paikalle huomaamatta, piilossa kaiken hypen alla, osaksi arkea tuosta noin vain.
Ja juuri siksi tekoäly on samanaikaisesti kiinnostava ja äärimmäisen tylsä.
iso 42001 – Tuttu rakenne, uusi konteksti
Yhteiskunnan tasolla regulaatio seuraa aina jäljessä teknologista kehitystä sen eettisen ja kompromissihakuisen luonteen vuoksi. Yritykset voivat olla monessa ketterämpiä, mutta kamalan usein hyvät käytännöt ovat nekin jäljessä kehitystä ja käyttäjien tahtotilaa ja mielikuvitusta. Ei BYOD syntynyt aikoinaan IT-osastoilla, vaan koska jenkeissä lääkärit vaihtoivat työläppärinsä iPadeihin, koska ne olivat sairaalakierroksilla niin paljon kevyemmät ja kätevämmät. Tekoälyn osalta parhaita käytäntöjä on alkanut jo muotoutua ja ne on saatu koottua ISO 42001 -standardiin.
ISO 42001 herättää monessa johtajassa ennustettavan ensireaktion: taasko yksi uusi hallintajärjestelmä? Ymmärrettävä tunne. Monessa organisaatiossa eletään jo ISO 9001:n, ISO 27001:n ja ISO 27701:n kanssa. On auditointeja, katselmuksia, prosessikuvauksia ja riskienhallintaa. Ja nyt tähän päälle vielä tekoäly?
Hyvä uutinen on, että ISO 42001 noudattaa samaa rakennetta ja logiikkaa kuin muutkin modernit hallintajärjestelmät: PDCA-malli, jatkuva parantaminen, johdon vastuu, riskiperusteinen ajattelu. Jos organisaatiossa on jo opittu ajattelemaan prosesseina, vastuina ja jatkuvana kehittämisenä, ISO 42001 ei ole kulttuurinen shokki. Oikeastaan silloin organisaatio on jo pitkällä – pitää vain huomioida ne ilmiöt, jotka tekoäly tuo mukanaan, mutta joita mikään aiempi hallintajärjestelmä ei ole joutunut käsittelemään.
Miksi tekoäly ei mahdu vanhoihin raameihin
On houkuttelevaa ajatella, että tekoäly on vain yksi teknologia muiden joukossa – ja että se hoituu tietoturvan, laadun ja tietosuojan kautta pienellä lisäyksellä sinne tänne. Ei hoidu.
Tekoäly poikkeaa aiemmasta tietotekniikasta yhdessä ratkaisevassa asiassa: se oppii ja muuttuu toimiessaan. Perinteinen ohjelmisto tekee sen, mitä sille on käsketty. Jos se tekee virheen, kyseessä on bugi: joku on vastuussa, korjaus tehdään ja työt jatkuvat. Tekoälyjärjestelmä sen sijaan muuttaa toimintaansa ajan myötä, tuottaa todennäköisyyksiä varmuuksien sijaan ja tekee joskus asioita, joita kukaan ei eksplisiittisesti käskenyt sen tekemään. Ehkä kaikkein hämmentävintä on, että hallusinointi ei ole bugi – se on ominaispiirre.
Tämä hämärtää vastuiden rajoja. Kuka on vastuussa, kun tekoäly tekee virheen, jota ei voi paikantaa koodiriviin? Ohjelmistotoimittaja? Käyttäjä? Organisaatio? Johto? Näihin kysymyksiin ISO 9001 tai ISO 27001 eivät anna vastauksia, koska ne on suunniteltu toisenlaiseen maailmaan.
ISO 42001 on olemassa juuri tätä varten. Tekoäly on uudenlainen riski- ja mahdollisuuskokonaisuus, joka vaatii oman hallinnan tasonsa. Tässä piilee myös yksi ikävä uutinen. Tekoäly ei ole hopealuoti, eikä sitä kannata työntää joka paikkaan. Se ei ratkaise organisaation tuottavuusongelmia, ei tee työstä maagisesta sujuvampaa ja helpompaa. Tekoäly vaatii samanlaista määrämuotoista johtamista kuin mikä tahansa isompi muutos organisaatiossa. Lisäksi se nostaa esiin olemassa olevat pullonkuopat ja ongelmat prosesseissa – kansainvälisesti onkin havaittu, että tuottoja tekoälyinvestoinneista saavat organisaatiot ovat muuttaneet muun ohessa prosessejaan.
Tietotyön murros, ei uusi ohjelmisto
Monessa organisaatiossa tekoälystä puhutaan edelleen kuin ohjelmistosta: ”Otamme Copilotin käyttöön”, ”Pilotimme generatiivista AI:ta”, ”Katsotaan, saataisiinko tästä tuottavuushyötyjä.” Mutta tekoäly ei ole työkalu samalla tavalla kuin tekstinkäsittely tai projektinhallintajärjestelmä. Se muuttaa tapaa, jolla teemme tietotyötä.
Kun tekoäly kirjoittaa luonnoksia, analysoi dataa, ehdottaa ratkaisuja ja tekee yhteenvetoja, ihmisen rooliksi jää yhä useammin ajattelutyö: arvioida, kyseenalaistaa, asettaa kontekstiin ja kantaa vastuu. Tekoäly ihan aidosti vie osan ihmisten töitä, aika merkittävänkin osan, sellaisen josta asiakkaat maksavat ja joka on tähän saakka ollut suojassa automaatiolta.
Toisaalta se vapauttaa aikaa laadukkaammalle ajattelulle, helpottaa kognitiivista kuormitusta (oikein käytettynä) ja ihmisten työ alkaa aiempaa pidemmältä, minkä ansiosta ihmisen ja tekoälyn yhteistyöllä päästään paljon pidemmälle kuin kummankaan työllä yksin. Kaikki nämä vaativat muutoksia työnkulkuihin, yksilöiden tapaan tehdä työtään, johdon tapaan johtaa organisaatiota… Tekoälyn hallinta ei ole IT-kysymys. Se on johtamiskysymys, kulttuurikysymys ja luottamuskysymys.
ISO 42001 ei ratkaise näitä puolestamme. Mutta se pakottaa meidät kysymään ne ääneen, käymään keskustelua ja etsimään ratkaisuita.
Kun pelisäännöt puuttuvat
Kuvitellaan keskisuuri asiantuntijaorganisaatio, jossa on ISO 9001 ja ISO 27001 käytössä ja jossa eri tiimit hyödyntävät generatiivisia AI-työkaluja – osa virallisesti, osa ”kaikkihan näitä käyttää” -periaatteella. (Astu Labsin tutkimusten mukaan jälkimmäisiä on 24 % kaikista käyttäjistä organisaatiossa kuin organisaatiossa.)
Aluksi tekoäly tuo nopeutta. Tekstit syntyvät nopeammin, analyysit helpottuvat, arki tuntuu kevyemmältä. Sitten alkaa tapahtua pieniä asioita: joku käyttää asiakasdataa työkalussa, jonka käyttöehdoista ei ole varmuutta. Rekrytoinnissa tekoäly ehdottaa profiileja, jotka alkavat näyttää epäilyttävän samanlaisilta. Taloushallinnossa luotetaan analyysiin, jota kukaan ei täysin ymmärrä.
Organisaatiossa alkaa kuulua kysymyksiä: ”Saako näin tehdä?” ”Kuka tästä vastaa?” ”Voimmeko luottaa tähän?” Ilman selkeitä pelisääntöjä epävarmuus kasvaa. Ja epävarmuus tappaa kokeilun, luovuuden ja rohkeuden. Onhan se aina helpointa kieltää kaikki epäilyttävä ja vedota kryptisiin DPIA, FRIA, sun muihin termeihin, joiden niidenkään merkityksestä ei organisaatiossa tunnu olevan yksimielisyyttä.
Tässä kohtaa hyvin johdettu ISO 42001 -hallintajärjestelmä ei hidasta kehitystä – se vapauttaa sen. Se tekee näkyväksi, missä tekoälyä käytetään, mihin tarkoitukseen ja millä riskeillä. Kun ihmiset tietävät, mitä saa tehdä ja missä menee raja, he uskaltavat toimia. Tunnetason turvallisuus kasvaa, luottamus kasvaa – ja usein, paradoksaalisesti, myös innovaatio.
Tylsää, välttämätöntä ja juuri siksi mahdollisuus
Tekoäly ei ole oikotie onneen eikä ratkaisu johtamisen ongelmiin. Se on perustavanlaatuinen muutos siinä, miten tietotyötä tehdään, ja se vaatii vastauksia perustavanlaatuisiin kysymyksiin. Sellaisiin, joita meillä ei koskaan aiemmin ole ollut olemassa, minkä vuoksi niihin ei ole vielä yleisesti hyväksyttyjä vastauksiakaan. Olemme kaikki yhteisellä matkalla etsimässä vastauksia.
ISO 42001 ei ole hypeä. Se on vastalääke hypelle. Sen ansiosta pysähdytään, jäsennetään, etsitään vastaukset, sovitaan vastuut ja rakennetaan luottamus.
Johtajana sinulle tämä tarkoittaa yhtä asiaa: tekoälyn hallinta ei ole delegoitavissa pois.
Kysy siis itseltäsi ja organisaatioltasi, missä tekoäly on jo osa arkea – huomaamattamme? Onko meillä yhteinen ymmärrys vastuista ja rajoista? Rakennammeko luottamusta vai kasvatammeko epävarmuutta?
Jos tekoäly on tullut jäädäkseen – ja se on – sen hallinnan on tultava osaksi kaikkea toimintaa. Ei uutena siilona, vaan uutena kerroksena tuttujen rakenteiden päälle. Edessä on hallinnan rakentamista, prosessien kehittämistä, katselmuksia, auditointeja, jatkuvaa parantamista… Tylsää? Kyllä. Välttämätöntä? Ehdottomasti.
