Как предприятиям внедрять Руководство по управлению рисками ИИ в Сингапуре

Автор: Чжан Фэн

В эпоху, когда технологии искусственного интеллекта стремительно проникают в финансовую отрасль, опубликованный 17 ноября 2025 года Управлением денежного обращения Сингапура (MAS) «Консультационный документ по Руководству по управлению рисками искусственного интеллекта» стал своевременной картой, указывающей финансовым организациям безопасный курс в волнах инноваций. Этот документ — не только первая в мире комплексная рамочная система управления рисками для ИИ в финансовой сфере, охватывающая весь жизненный цикл, но и символизирует ключевой сдвиг в регуляторном мышлении: от «принципов» к «практической реализации». Для всех компаний, связанных с рынком Сингапура, глубокое понимание и системное внедрение данного Руководства из разряда «по желанию» превратилось в «обязательный экзамен».

I. Внутренняя суть Руководства: поиск точного баланса между стимулированием инноваций и предотвращением рисков

Появление Руководства обусловлено глубоким регуляторным осознанием: ИИ — это обоюдоострое оружие. Такие технологии, как генеративный ИИ и AI-агенты, демонстрируют значительные успехи в кредитовании, инвестиционном консультировании, управлении рисками, но одновременно порождают беспрецедентные риски: «галлюцинации» моделей, отравление данных, зависимость от цепочки поставок, неконтролируемость самостоятельных решений. Если эти риски не ограничивать, их цепная реакция может превзойти последствия традиционных финансовых кризисов.

Поэтому регуляторная логика MAS не заключается в «тотальном подавлении», а строится на принципах «ориентированности на риск» и «пропорциональности». Это означает, что фокус регулирования и размеры вложенных компанией ресурсов должны строго соответствовать уровню риска конкретного AI-приложения. Например, высокорисковая AI-модель для кредитного скоринга требует куда более пристального управления, чем AI-инструмент для внутреннего анализа документов. Такой дифференцированный подход признаёт уникальность каждой организации и сценария применения, направлен на формирование здоровой экосистемы «инноваций без выхода за рамки», укрепляя лидирующие позиции Сингапура как мирового центра финтеха.

II. Трёхуровневая защита: управление, система рисков и замкнутый цикл жизненного цикла

Руководство выстраивает для компаний прочную трёхуровневую архитектуру управления рисками, где каждый уровень логически дополняет предыдущий, формируя замкнутый цикл.

Первый уровень — управление и надзор, определяющие «кто отвечает». Руководство возлагает конечную ответственность за надзор над рисками ИИ на совет директоров и топ-менеджмент, требуя от них не только утверждения AI-стратегии, но и повышения собственной AI-компетенции для эффективного контроля. Для организаций с широкой и рискованной AI-экспозицией рекомендуется создать «AI-комитет», объединяющий риск-менеджмент, комплаенс, ИТ и бизнес-подразделения, напрямую подчиняющийся совету директоров — это ключ к эффективной реализации управления.

Второй уровень — система управления рисками, отвечающая на вопросы «что контролировать» и «что в приоритете». Компания должна внедрить механизм, позволяющий, подобно инвентаризации материальных активов, идентифицировать и зарегистрировать все AI-приложения — собственные, приобретённые или основанные на open source, создав динамично обновляемый «AI-реестр». Далее каждое приложение должно пройти «чекап» по трём осям: «степень воздействия», «техническая сложность», «внешняя зависимость», получив рейтинг риска (высокий/средний/низкий). Эта карта риска — научная основа для распределения ресурсов на управление.

Третий уровень — управление на протяжении всего жизненного цикла, определяющее «как управлять». Это наиболее практико-ориентированный раздел Руководства, встраивающий регуляторные требования во все этапы жизни AI — от появления идеи до вывода из эксплуатации. От обеспечения законности и справедливости обучающих данных, проверки интерпретируемости на этапе разработки, до тестирования на устойчивость к «галлюцинациям» и инъекциям промтов перед запуском; от обязательных интерфейсов ручного контроля в эксплуатации до строгого управления сторонними подрядчиками и регламента списания моделей — формируется бесшовная управленческая цепочка.

III. Яркие особенности: прогрессивность, практичность и дифференцированный регуляторный подход

Руководство выделяется среди множества регуляторных актов благодаря ряду особенностей. Его прогрессивность проявляется в том, что впервые в мире прямо включены генеративный ИИ и AI-агенты в сферу регулирования, что позволяет ответить на самые передовые технологические вызовы. Его практичность выходит далеко за рамки принципов: документ выступает подробной «инструкцией по эксплуатации», переводя абстрактные принципы — справедливость, этику, подотчётность, прозрачность (FEAT) — в конкретные действия, такие как элементы AI-реестра и количественные показатели оценки. Особого внимания заслуживает ступенчатая система регулирования: для малых, средних и крупных/высокорисковых организаций установлены различные по сложности пути комплаенса, что отражает прагматичный подход.

Кроме того, Руководство не изолировано, а гармонично сочетается с существующими в Сингапуре нормативами — «Типовой рамочной программой управления AI», Законом о защите персональных данных (PDPA) и др., а также через такие проекты, как Project MindForge, способствует созданию отраслевых best practices, формируя «жёстко-регуляторную + мягко-методическую» экосистему.

IV. Пошаговая стратегия внедрения: комплексная интеграция для локальных и точечный комплаенс для трансграничных компаний

В зависимости от типа компании подходы к Руководству различаются.

Для финансовых организаций, работающих на территории Сингапура, внедрение должно проходить поэтапно:

До даты окончания консультаций — 31 января 2026 года — компании должны завершить базовую инвентаризацию AI-активов и провести первичную оценку рисков, а также активно участвовать в обсуждении документа. В течение 12-месячного переходного периода, начиная со второго полугодия 2026 года, предстоит выстроить полную систему: усовершенствовать управленческую структуру, внедрить процессы полного жизненного цикла, усилить контроль над подрядчиками и провести массовое обучение сотрудников по комплаенсу. С начала второй половины 2027 года и далее начинается фаза устойчивого развития: акцент смещается на динамическую оптимизацию, внутренний аудит и отраслевое взаимодействие, чтобы система управления рисками оставалась живой и эффективной.

Для компаний без присутствия в Сингапуре, но ведущих бизнес в его юрисдикции (например, предоставляющих трансграничные финуслуги или AI-решения для сингапурских организаций), стратегия строится на «точечном комплаенсе» и «изоляции рисков». Важно чётко определить, какие бизнес-направления и AI-приложения подпадают под действие Руководства. Для таких «сингапурских» активностей необходимо создать отдельные процессы комплаенса и документацию, чтобы быть готовыми к проверке со стороны партнёров или MAS. Технически рекомендуется изолировать AI-системы, ориентированные на рынок Сингапура, а также прозрачно и активно информировать контрагентов о состоянии комплаенса, превращая его в источник доверия и конкурентное преимущество.

V. За пределами комплаенса: превращение управления рисками в ключевое конкурентное преимущество

Ключ к успешной реализации Руководства — глубокая интеграция его требований в реальные бизнес-процессы, обеспечивающая «бесшовное слияние» управления рисками с повседневной деятельностью.

Например, в таком высокорисковом сценарии, как одобрение кредитов, компания должна встроить серию контрольных точек комплаенса в рабочий процесс. На этапе сбора требований бизнес и ИТ-отделы совместно анализируют потенциальную предвзятость модели, запрещая использовать в принятии решений такие чувствительные признаки, как раса и пол; при разработке модели проводится независимая валидация и тестирование на справедливость, гарантируется объяснимость; после внедрения система должна обязывать проводить ручную проверку «высокорисковых» или «пограничных» кейсов с полным протоколированием решений для аудита. Для генеративного ИИ в интеллектуальной поддержке клиентов разговорный модуль должен включать мониторинг «галлюцинаций» и онлайн-контроль, предотвращать вводящие в заблуждение ответы, а при операциях, касающихся транзакций или конфиденциальной информации, предусматривать обязательную ручную эскалацию.

Компаниям следует превратить «управление жизненным циклом» из Руководства в SOP (стандартные операционные процедуры) для каждого бизнес-подразделения. Например, при маркетинговых рекомендациях с этапа сбора данных необходимо удостовериться в наличии пользовательского согласия и представительности данных; итерация моделей требует не только технических тестов, но и совместного пересмотра бизнес- и комплаенс-отделами с учётом новых регуляторных требований; результаты A/B-тестов должны обязательно содержать анализ влияния на справедливость. Встраивая точки контроля AI-рисков в бизнес-процессы структурно, компания не только выполнит комплаенс системно, но и повысит качество и устойчивость принимаемых решений, превратив регуляторную рамку в операционное преимущество.

Выполнение Руководства — это не просто затратный центр или формальная нагрузка. Ключ к успеху — стратегический уровень внедрения. Подлинная вовлечённость топ-менеджмента и постоянные инвестиции — фундамент; совет директоров должен включать риски AI в общий риск-профиль организации. Глубокое взаимодействие бизнес- и ИТ-отделов — кровеносная система: управление AI-рисками — не задача исключительно ИТ, а замкнутый цикл, где бизнес формулирует запросы, технология реализует, а комплаенс контролирует. Кроме того, в условиях быстрого развития технологий и регулирования, критично создать динамически адаптируемую и постоянно совершенствующуюся систему, а также эффективно использовать автоматизированные инструменты мониторинга и оценки для повышения эффективности и гибкости.

В конечном итоге лидеры рынка поймут: надёжные, прозрачные и заслуживающие доверия системы управления AI-рисками — это мощный актив бренда и конкурентное преимущество. Они не только соответствуют требованиям регулятора, но и завоёвывают долгосрочное доверие клиентов и рынка, выстраивая для компании самую надёжную защиту в эпоху цифровой неопределённости. С вступлением в силу финальной версии Руководства в 2026 году те, кто первым выстроит системную инфраструктуру, несомненно займут ценные лидирующие позиции не только на новом финтех-рынке Сингапура, но и во всём мире.