GOVERN - Governance a kultura

Jak vybudovat organizační kulturu a procesy pro řízení AI rizik

NIST AI RMF funkce: GOVERN Subkategorie: GV-1 až GV-6

1. Přehled funkce GOVERN

GOVERN je základem celého AI RMF. Bez funkční governance nelze efektivně implementovat ostatní funkce (MAP, MEASURE, MANAGE).

Cíle GOVERN

Cíl	Popis
Kultura	Vytvořit organizační kulturu vědomou AI rizik
Politiky	Definovat jasné politiky a procedury
Role	Ustanovit odpovědnosti a accountability
Procesy	Implementovat governance procesy
Third-party	Řídit rizika dodavatelského řetězce

2. GV-1: Politiky a procedury

2.1 AI Governance politika

Minimální obsah politiky:

AI GOVERNANCE POLITIKA

1. Účel a scope
   - Proč politika existuje
   - Na co se vztahuje (všechny AI systémy)

2. Definice
   - Co je AI systém
   - Co je high-risk AI
   - Co je GAI (generativní AI)

3. Principy
   - Transparentnost
   - Fairness
   - Privacy
   - Safety
   - Accountability

4. Klasifikace rizik
   - Prohibited (zakázané)
   - High-risk
   - Medium-risk
   - Low-risk

5. Role a odpovědnosti
   - AI System Owner
   - AI Risk Officer
   - DPO
   - CISO

6. Procesy
   - Pre-deployment review
   - Incident management
   - Change management

7. Compliance
   - EU AI Act
   - GDPR
   - Sektorové regulace

8. Review a aktualizace
   - Frekvence přezkumu
   - Approval process

2.2 Acceptable Use Policy pro GAI

Specifická politika pro generativní AI (ChatGPT, Claude, atd.):

Oblast	Pravidlo
Schválené nástroje	Seznam povolených GAI nástrojů
Zakázaná data	PII, zdravotní, finanční, confidential
Povinnosti uživatele	Ověření výstupů, označení AI-generated
Logging	Požadavky na audit trail
Incidenty	Jak hlásit problémy

2.3 Risk Tolerance

Definujte prahové hodnoty pro akceptaci rizik:

Risk Level	Tolerance	Schválení	Příklady
Critical	Zero tolerance	N/A - zakázáno	CBRN, CSAM
High	Minimální	CEO + Board	High-risk AI dle AI Act
Medium	Řízené	CTO + Legal	Chatboty, analytics
Low	Akceptované	Manager	Spam filtry, search

3. GV-2: Role a odpovědnosti

3.1 Organizační struktura

┌─────────────────────────────────────────────────────────────────┐
│                          BOARD / CEO                             │
│                    (Ultimate accountability)                      │
└─────────────────────────────────────────────────────────────────┘
                               │
              ┌────────────────┼────────────────┐
              │                │                │
              ▼                ▼                ▼
     ┌─────────────┐  ┌─────────────┐  ┌─────────────┐
     │ AI Ethics   │  │    Risk     │  │   Audit     │
     │  Committee  │  │  Committee  │  │  Committee  │
     │             │  │             │  │             │
     │ - Etické    │  │ - Risk      │  │ - Nezávislé │
     │   otázky    │  │   oversight │  │   ověření   │
     └─────────────┘  └─────────────┘  └─────────────┘
              │                │                │
              └────────────────┼────────────────┘
                               │
              ┌────────────────┼────────────────┐
              │                │                │
              ▼                ▼                ▼
     ┌─────────────┐  ┌─────────────┐  ┌─────────────┐
     │    CTO      │  │    DPO      │  │    CISO     │
     │             │  │             │  │             │
     │ - Technical │  │ - Privacy   │  │ - Security  │
     │ - AI Ops    │  │ - GDPR      │  │ - NIS2      │
     └─────────────┘  └─────────────┘  └─────────────┘
                               │
                               ▼
                    ┌─────────────────────┐
                    │   AI SYSTEM OWNERS  │
                    │                     │
                    │ - Day-to-day mgmt   │
                    │ - Compliance        │
                    │ - Incident response │
                    └─────────────────────┘

3.2 Klíčové role

AI Risk Officer / AI Governance Lead

Aspekt	Detail
Reporting	CTO nebo CEO
Odpovědnosti	AI governance program, risk assessment, compliance
Kvalifikace	AI/ML znalosti, risk management, regulatory knowledge
Velikost org.	Full-time pro >500 zaměstnanců, part-time pro menší

Klíčové aktivity:

Vedení AI inventury
Koordinace risk assessments
Liaison s regulátory
Training a awareness
Incident coordination

AI System Owner

Aspekt	Detail
Reporting	CTO nebo business unit head
Odpovědnosti	Konkrétní AI systém end-to-end
Kvalifikace	Business + technical understanding
Počet	1 per AI systém

Klíčové aktivity:

Dokumentace systému
Risk classification
Pre-deployment approval
Performance monitoring
Incident response

AI Ethics Board / Committee

Aspekt	Detail
Složení	Cross-functional (Legal, Tech, HR, External)
Frekvence	Měsíčně nebo quarterly
Scope	Etické otázky, high-risk decisions
Authority	Advisory nebo decision-making

3.3 RACI matice

Aktivita	AI Owner	AI Risk Officer	CTO	DPO	CISO	CEO
AI System Registration	R	A	I	I	I	-
Risk Classification	R	A	C	C	C	I
Pre-deployment Review	R	A	A	C	C	I
High-risk Approval	I	R	A	C	C	A
Incident Response	R	A	I	C	C	I
Annual Review	R	A	A	C	C	I

R = Responsible, A = Accountable, C = Consulted, I = Informed

4. GV-3: Organizační kultura

4.1 AI Literacy program

Úrovně školení:

Úroveň	Audience	Obsah	Frekvence
Awareness	Všichni zaměstnanci	Co je AI, rizika, politiky	Ročně
User	Uživatelé AI nástrojů	Safe use, best practices	Při onboardingu + ročně
Practitioner	Data Scientists, Engineers	Technical risks, TEVV	Quarterly
Leader	Management	Governance, liability, strategy	Pololetně

4.2 Safety-first mindset

Principy k vštípení:

“Trust but verify” - Ověřuj AI výstupy
“Human in the loop” - Člověk má finální slovo u kritických rozhodnutí
“Report early” - Hlášení problémů bez strachu z postihu
“Fail safe” - Při pochybnostech zastav, nepoužívej

4.3 Whistleblower ochrana

Požadavky dle NIST GV-2.1-005:

Anonymní reporting kanál
Ochrana před odvetnými opatřeními
Eskalační cesta mimo přímé nadřízené
Dokumentované vyšetřování

5. GV-4: Dokumentace a transparentnost

5.1 AI System Inventory

Povinné atributy:

Pole	Popis	Příklad
`system_id`	Unikátní identifikátor	AI-2024-001
`name`	Název systému	Customer Churn Predictor
`description`	Popis účelu	Predikce odchodu zákazníků
`type`	Kategorie	ML Model / GAI / Embedded
`owner`	Zodpovědná osoba	Jan Novák
`department`	Oddělení	Marketing
`vendor`	Dodavatel (pokud third-party)	OpenAI
`risk_level`	Klasifikace rizika	Medium
`status`	Stav	Production
`deployment_date`	Datum nasazení	2024-06-15
`last_review`	Poslední přezkum	2025-01-05
`data_types`	Typy dat	Customer data, behavioral
`pii_processed`	Zpracovává PII?	Yes
`decision_making`	Automatizované rozhodování?	Partial

5.2 Decision logging

Pro high-risk AI systémy:

{
  "decision_id": "DEC-2025-00123",
  "timestamp": "2025-01-05T10:30:00Z",
  "system_id": "AI-2024-001",
  "input_summary": "Customer profile hash: abc123",
  "output": "Churn risk: 78%",
  "confidence": 0.85,
  "factors": ["payment_delays", "support_tickets", "usage_decline"],
  "human_review": true,
  "reviewer": "user@company.com",
  "final_action": "retention_campaign_triggered"
}

6. GV-5: Stakeholder engagement

6.1 Interní stakeholdeři

Stakeholder	Zapojení	Frekvence
Business units	Requirements, feedback	Ongoing
IT/Engineering	Implementation, monitoring	Ongoing
Legal	Compliance, contracts	Per project
HR	Training, policies	Quarterly
Finance	Budget, ROI	Annually

6.2 Externí stakeholdeři

Stakeholder	Zapojení	Jak
Zákazníci	Transparentnost, feedback	Notices, surveys
Regulátoři	Compliance, reporting	Dle požadavků
Dodavatelé	Due diligence, SLAs	Contracts, audits
Veřejnost	Transparentnost	Public statements

7. GV-6: Third-party management

7.1 Vendor due diligence

Checklist pro výběr AI poskytovatele:

Oblast	Otázky	✓
Security	SOC 2 Type II? ISO 27001?	☐
Privacy	GDPR compliant? DPA available?	☐
AI Act	Awareness? Compliance plans?	☐
Transparency	Model cards? Training data info?	☐
SLAs	Uptime? Performance guarantees?	☐
Exit	Data portability? Termination rights?	☐
Insurance	Cyber insurance? AI liability?	☐

7.2 Smluvní požadavky

Povinné klauzule v AI vendor contracts:

Data Processing Agreement (DPA) - GDPR Art. 28
Training opt-out - Zákaz trénování na našich datech
Audit rights - Právo na audit
Incident notification - Lhůty pro hlášení incidentů
Liability - Jasná odpovědnost za AI outputs
Termination - Exit strategy a data return
Subprocessors - Schválení subdodavatelů

7.3 Ongoing monitoring

Aktivita	Frekvence	Owner
Performance review	Měsíčně	AI Owner
Security posture check	Quarterly	CISO
Contract compliance	Quarterly	Legal
Risk re-assessment	Ročně	AI Risk Officer
Full vendor audit	Ročně nebo per event	Audit

8. Implementační checklist

Fáze 1: Základy (Měsíc 1-2)

Schválení AI Governance politiky vedením
Jmenování AI Risk Officer / Lead
Definování AI System Owner role
Vytvoření základní AI inventury
Spuštění awareness programu

Fáze 2: Procesy (Měsíc 3-4)

Implementace pre-deployment review procesu
Nastavení incident response pro AI
Zavedení vendor due diligence
Vytvoření dokumentačních šablon
Training pro AI Owners

Fáze 3: Zralost (Měsíc 5-6)

9. Metriky a KPIs

Metrika	Target	Měření
% AI systémů v inventuře	100%	Quarterly audit
% systémů s definovaným ownerem	100%	Inventura
% zaměstnanců s AI awareness training	100%	LMS
Průměrný čas pre-deployment review	<5 dní	Process tracking
% vendorů s DPA	100%	Contract review
Počet AI incidentů	Trend ↓	Incident log

10. Šablony a nástroje

Dostupné šablony

Šablona	Účel	Lokace
AI Governance Policy	Základní politika	`/templates/protected/`
AI System Registration Form	Registrace AI	`/templates/open/`
Vendor Assessment Checklist	Due diligence	`/templates/open/`
AI Incident Report	Hlášení incidentů	`/templates/open/`

Pokračujte na 03-map.md pro implementaci MAP funkce.

AI-Native Entry Framework | CC BY-NC-SA 4.0