क्यों विफल होता है एआई गवर्नेंस

समस्या यह नहीं है कि संगठनों के पास एआई नीतियां नहीं हैं। यह है कि वे नीतियां वास्तव में कुछ नहीं करती हैं।

किसीplace जहां साफ-सुथरे पीडीएफ और तैनात मॉडल के बीच, इरादा वाष्पित हो जाता है। टीमें सुधार करती हैं। अपवाद जमा होते हैं। गवर्नेंस एक प्रणाली से एक वार्ता में बदल जाता है — और नियंत्रित उद्योगों में जैसे स्वास्थ्य सेवा और जीवन विज्ञान, यह अंतर केवल शर्मनाक नहीं है। यह एक संचालन देयता है।

समाधान अधिक दस्तावेज नहीं है। यह गवर्नेंस को सॉफ्टवेयर की तरह मानना है।

गवर्नेंस गैप पहले से ही मापनीय है

एआई अपनाने में तेजी से वृद्धि हुई है जबकि गवर्नेंस बुनियादी ढांचे ने इसका पालन नहीं किया है। सितंबर 2025 के एक अध्ययन में अर्न्स्ट एंड यंग ने पाया कि केवल 10% कंपनियां एआई प्रणालियों को लेखा परीक्षा के लिए पूरी तरह से तैयार हैं। इसी समय, नए पोनेमन शोध में पाया गया कि 92% संगठनों का कहना है कि जनरेटिव एआई ने कर्मचारियों के लिए जानकारी तक पहुंच और साझा करने के तरीके को बदल दिया है, लेकिन केवल 18% ने पूरी तरह से एआई गवर्नेंस को अंदरूनी जोखिम कार्यक्रमों में एकीकृत किया है।

पैटर्न सुसंगत है: एआई पहले से ही दैनिक कार्य में निहित है। पर्यवेक्षण अभी भी पकड़ में है। और जितना अधिक गवर्नेंस दस्तावेज़ के रूप में रहता है, उतना ही बदतर यह अंतर होता जाता है।

गवर्नेंस जो जहाजों को भेजता है

यह अवधारणा धोखाधड़ी से सरल है: यदि एक गवर्नेंस आवश्यकता निर्माण को विफल नहीं कर सकती है, तो यह उत्पादन की रक्षा नहीं कर सकती है।

वास्तविक गवर्नेंस में इनपुट, आउटपुट, प्रवर्तन बिंदु और पर्यवेक्षणीय परिणाम होते हैं। यह निरंतर चलता रहता है — त्रैमासिक नहीं। और महत्वपूर्ण रूप से, यह साक्ष्य का उत्पादन करता है काम करने के परिणामस्वरूप, बाद में जोड़े गए एक अलग अनुपालन अनुष्ठान के रूप में नहीं।

संचालन मॉडल इस प्रकार दिखता है:

नीति → नियंत्रण → साक्ष्य → मीट्रिक

नीतियां इरादा परिभाषित करती हैं। नियंत्रण व्यवहार को लागू करते हैं। साक्ष्य निष्पादन सिद्ध करता है। मीट्रिक परिणामों को मान्य करते हैं। यह एक नई अवधारणा नहीं है — यह वही तर्क है जिसका उपयोग परिपक्व सुरक्षा और अनुपालन प्रणालियों द्वारा पहले से ही किया जाता है। परिवर्तन एआई पर उसी तर्क को लागू करना है।

नियंत्रण सुझाव नहीं हैं। साक्ष्य दस्तावेज नहीं है। और यदि एक नियंत्रण साक्ष्य का उत्पादन करने के लिए मैनुअल प्रयास की आवश्यकता है, तो यह एक नियंत्रण नहीं है। यह एक आशा है।

जोखिम स्तर, न कि जोखिम रंगमंच

प्रत्येक एआई प्रणाली को समान जांच की आवश्यकता नहीं होती है। एक निम्न-जोखिम वाले आंतरिक उपकरण के साथ एक नैदानिक ​​निर्णय-समर्थन मॉडल के रूप में समान कठोरता से व्यवहार करना यह है कि संगठन या तो रुक जाते हैं या अनावश्यक रूप से खुद को उजागर करते हैं।

एनआईएसटी एआई जोखिम प्रबंधन फ्रेमवर्क, 2023 में जारी, जोखिम के बारे में सोचने के लिए एक मूलभूत संरचना प्रदान करता है: चार कार्यों में एआई जोखिम को मैप करना — शासित, मैप, माप, और प्रबंधित करें। एक कार्यात्मक उद्यम गवर्नेंस मॉडल इस तर्क पर व्यावहारिक जोखिम स्तरों के साथ निर्माण करता है:

यह इंजीनियरिंग टीमों को कुछ देता है जो उन्हें अक्सर गवर्नेंस प्रक्रियाओं से नहीं मिलता है: स्पष्टता। न कि “हमें क्या करना चाहिए?” बल्कि “यह कौन सा स्तर है, और इसका क्या मतलब है?”

अच्छा गवर्नेंस अस्पष्टता को दूर करता है। महान गवर्नेंस बहस को दूर करता है।

नीति-कोड: सलाहकार से कार्यान्वित करने योग्य

दस्तावेजों में लिखी गई नीतियां सलाहकार हैं। पाइपलाइनों में एन्कोड की गई नीतियां लागू करने योग्य हैं।

बुनियादी ढांचे की तरह जिसे तैनाती से पहले सत्यापित किया जाता है, एआई प्रणालियों को स्वचालित जांच द्वारा नियंत्रित किया जा सकता है जो सत्यापित करता है कि क्या एक उपयोग का मामला पंजीकृत है, क्या आवश्यक दस्तावेज मौजूद हैं, क्या मूल्यांकन परिणाम परिभाषित सीमा में हैं, और क्या संवेदनशील डेटा तक पहुंच न्यूनतम विशेषाधिकार का पालन करती है। ये जांच सीआई/सीडी में चलती हैं। उन्हें एक समिति की प्रतीक्षा नहीं है। उन्हें किसी की स्मृति या सद्भावना पर निर्भर नहीं है।

ओपन पॉलिसी एजेंट — एक स्नातक क्लाउड नेटिव कंप्यूटिंग फाउंडेशन परियोजना — सटीक रूप से प्रदर्शित करता है कि नियमों को संस्करण, समीक्षा और इंजीनियरिंग पारिस्थितिकी तंत्र में सुसंगत रूप से लागू कैसे किया जा सकता है। पैटर्न को समझा जाता है। अंतर यह है कि एआई टीमें इसे लागू नहीं कर रही हैं।

सबसे सुरक्षित एआई प्रणाली वह नहीं है जिसकी नीतियां सबसे अच्छी हैं। यह वह है जो तकनीकी रूप से उन्हें तोड़ने में असमर्थ है।

एलएलएम-विशिष्ट नियंत्रण: जहां यह दिलचस्प हो जाता है

जनरेटिव एआई एक जोखिम श्रेणी की शुरुआत करता है जिसके लिए पारंपरिक गवर्नेंस फ्रेमवर्क नहीं बनाए गए थे — प्रेरक इंजेक्शन, आउटपुट मैनिपुलेशन, टूल दुरुपयोग। ये किनारे के मामले नहीं हैं। वे एलएलएम के कामकाज के संरचनात्मक गुण हैं, और जैसा कि Unite.AI के एजेंटिक एआई गवर्नेंस कवरेज ने उल्लेख किया है, गवर्नेंस गैप और भी अधिक प्रोन्नत हो जाता है क्योंकि एआई प्रणालियां प्रश्नों का उत्तर देने से लेकर कार्रवाई करने तक जाती हैं।

जेनएआई प्रणालियों के लिए प्रभावी गवर्नेंस एलएलएम व्यवहार के लिए विशिष्ट रूप से निर्मित नियंत्रणों की आवश्यकता है: प्रणाली निर्देशों और उपयोगकर्ता इनपुट के बीच सख्त पृथक्करण, नियंत्रित टूल पहुंच और अनुमत सूची, आउटपुट को निष्पादन से पहले सत्यापन, डेटा निष्कर्षण के खिलाफ सुरक्षा उपाय, और सुरक्षित डिफ़ॉल्ट ग्रेसफुल विफलता के लिए।

वे सीधे ओडब्ल्यूएएसपी टॉप 10 फॉर एलएलएम एप्लिकेशन में निर्दलीय रूप से योगदान देने वाले 600 से अधिक विशेषज्ञों के साथ 18 देशों में एक समुदाय-संचालित फ्रेमवर्क में दस्तावेज़द वुल्नरेबिलिटी वर्गों को मैप करते हैं – एलएलएम गवर्नेंस मॉडल को जानता है और अधिक मॉडल को करने की अनुमति देता है।

साक्ष्य बुनियादी ढांचा है, न कि कागजी कार्रवाई

लेखा परीक्षक इरादे पर विश्वास नहीं करते हैं। वे रिकॉर्ड पर विश्वास करते हैं।

एक प्रणाली में जहां गवर्नेंस जहाजों को भेजती है, साक्ष्य स्वचालित रूप से उत्पन्न होता है: मॉडल कार्ड जो इरादा उपयोग और सीमाओं का वर्णन करते हैं, डेटा दस्तावेज जो प्रोवेनेंस को कवर करते हैं, मूल्यांकन रिपोर्ट जो प्रदर्शन और ज्ञात जोखिम दिखाती हैं, लॉग जो निर्णय और परिवर्तनों को पकड़ते हैं। ये कलाकृतियां लेखा परीक्षा के लिए नहीं हैं। वे इसलिए हैं क्योंकि प्रणाली को कार्य करने के लिए उन्हें आवश्यक है।

सबसे मजबूत लेखा परीक्षा स्थिति तब होती है जब साक्ष्य पहले से मौजूद होता है जब कोई इसके लिए पूछता है। यह सैद्धांतिक नहीं है — नियामक पहले से ही इस दिशा में बढ़ रहे हैं। जैसा कि हाल के विश्लेषण पर दृढ़ एआई गवर्नेंस नोट्स, नियामक जल्द ही पूछेंगे जो अब नहीं हैं कि “क्या आपने इसे रखा?” लेकिन “क्या आप साबित कर सकते हैं कि क्या हुआ, किस नीति के तहत, किस डेटा का उपयोग करके, और किसके अधिकार के साथ?”

वास्तविक तर्क: गवर्नेंस त्वरणक

स्थायी मिथक यह है कि गवर्नेंस और गति विरोध में हैं। अभ्यास में, खराब रूप से डिज़ाइन की गई गवर्नेंस टीमों को धीमा कर देती है। अच्छी तरह से डिज़ाइन की गई गवर्नेंस घर्षण को दूर करती है।

जब नियंत्रण मानकीकृत होते हैं, जांच स्वचालित होती है, और अपेक्षाएं संकेतित होती हैं, तो टीमें वार्ता बंद कर देती हैं और निर्माण शुरू कर देती हैं। रिलीज़ अधिक अनुमानित हो जाते हैं। निर्णयों को अब विशेषज्ञों के एक छोटे समूह से नायकत्व की आवश्यकता नहीं होती है जिन्होंने नीति दस्तावेजों को याद रखा है।

गवर्नेंस तब बढ़ती है जब यह बुनियादी ढांचा होता है। यह तब नहीं बढ़ता जब यह भावना होती है।

लक्ष्य कभी भी नियंत्रण के लिए अपने आप में नहीं था। यह अराजकता के बिना गति है – और संगठन जो इसे सही तरीके से प्राप्त कर रहे हैं वे वे नहीं हैं जिनके पास सबसे व्यापक पीडीएफ है। वे वे हैं जिन्होंने सही व्यवहार को सबसे आसान मार्ग बनाया है।