Kun kerron johtajille, että tekoälylle on olemassa oma ISO-standardi reaktio on lähes aina samankaltainen paikasta, ajasta ja tilanteesta riippumatta. Jotain tämän suuntaista: ”Taas yksi hallintajärjestelmä. Eikö meillä ole jo tarpeeksi tekemistä nykyisissä?”
Ymmärrän tunteen täysin. Olen ollut palavereissa, joissa puretaan ISO 9001 -auditointien havaintoja. Olen ollut mukana rakentamassa ISO 27001 -mukaisia tietoturvajärjestelmiä. Olen kuluttanut elämääni jopa johdon katselmuksissa, joihin kukaan ”ei ole ehtinyt” valmistautua. Usko pois, tiedän miltä se tuntuu, kun pöydälle tuodaan taas uusi standardi – ISO 42001 – ja siihen liittyvä dokumentaatio.
Mutta tällä kertaa pyydän sinua pysähtymään hetkeksi. Sillä tässä standardissa on jotain, mitä et ehkä odota. Tämä ei nimittäin hidasta sinua. Se vapauttaa sinut ja organisaatiosi.
Tekoäly hiipii arkeen hypen varjossa
Puhutaan ensin siitä, mitä tekoäly oikeastaan on organisaatiossasi juuri nyt.
Mediassa tekoäly on joko ihmiskunnan pelastaja tai tuho. LinkedIn pursuaa postauksia, joissa joku kertoo ”mullistavansa koko bisneksen” tekoälyllä. AI-natiivi sitä, AI-natiivi tätä. Teknologiayhtiöiden pomot puhuvat autonomisista agenteista ja siitä, miten kaikki muuttuu alle vuodessa ja tietotyö automatisoituu. Jos et nyt ota tätä ja tätä käyttöön, putoat kelkasta…
Samaan aikaan todellisuudessa tapahtuu jotain paljon arkisempaa ja mielenkiintoisempaa.
Tekoäly hiipii. Se tulee organisaatioosi ilman fanfaareja, ilman isoa käyttöönottoprojektia, ilman johdon päätöstä. Joku taloushallinnossa käyttää ChatGPT:tä raporttien kirjoittamiseen. HR-osastolla testataan tekoälypohjaista rekrytointityökalua. Markkinointi generoi kuvia ja tekstejä. IT-osasto kokeilee koodausapureita.
Kukaan ei välttämättä koordinoi tätä. Kun johtoryhmä tai hallitus lähtee minun ja Astu Labsin kanssa yhteistyöhön, aloitamme yleensä tiekartan muodostamisella nykytilan pohjalta. Siinä yhteydessä kartoitamme AI:n käytön organisaatiossa ja toistaiseksi tulokset ovat… No, karuja tai erinomaisia, riippuu näkökulmasta.
Keskimäärin vain 2-5 % tutkimiemme organisaatioiden työntekijöistä ei käytä tekoälyä. Toisaalta 24 % käyttää generatiivisen tekoälyn työkaluja, joita ei ole saanut työnantajaltaan ja joista työnantaja ei tiedä. On hyvin tyypillistä, että käyttökohteita on laidasta laitaan. Ja yhtä tyypillistä, ettei kukaan tiedä tarkalleen, mitä kaikkea on käytössä ja mihin tarkoituksiin.
Tekoäly ei ole uusi osa-alue yrityksesi toimintaa. Se ei ole erillinen ”tekoälyprojekti” tai ”digitalisaatiohanke” – se on jo siellä arjessa mukana. Jatkossa yhä laajemmin, kun siitä tulee luonnollinen osa tietoturvaa, osa taloushallintoa, osa HR:ää, osa myyntiä, osa asiakaspalvelua. Osa kaikkea. Niin luonnollinen osa, ettei siitä kohta enää puhuta tekoälynä.
Kyseessä on uuden ohjelmiston sijaan uusi tapa tehdä työtä
Haluan olla tässä kohtaa suora, koska tämä on asia, josta monet puhuvat liian kevyesti.
Tekoälyssä ei ole kyse uudesta ohjelmistosta. Ei ole kyse siitä, että otat käyttöön uuden järjestelmän, sitten kouluttautuminen ja sen jälkeen homma toimii ja tuottavuus kasvaa. Tekoäly on disruptio, joka muuttaa perustavanlaatuisesti sitä, miten tietotyötä tehdään.
Niin perustavanlaatuisesti, että uskallan väittää tekoälyn tekevän perinteisen tietotyön tarpeettomaksi. Sen tilalle tulee ajattelutyö. Ihan samalla tavalla kuin kaivinkoneet veivät pois fyysiset lapiohommat ja muuttivat ne istumatyöksi.
Mitä tarkoitan? Tietotyö on perinteisesti ollut tiedon etsimistä, koostamista, muokkaamista ja jakamista. Raporttien kirjoittamista. Datan analysointia. Sähköposteihin vastaamista. Prosessien pyörittämistä.
Tekoäly pystyy jo nyt tekemään suuren osan näistä tehtävistä. Ei täydellisesti, mutta riittävän hyvin, että ihmisen rooli muuttuu. Enää ei riitä, että osaat etsiä tietoa ja koostaa siitä raportin. Tekoälyn kanssa töitä tehdessä saat suoraan valmiin raportin. Työsi alkaa pidemmältä ja sinun pitää osata ajatella, mitä tämä raportti tarkoittaa, miksi se on tärkeä, mitä meidän pitäisi tehdä toisin ja miten se vaikuttaa ihmisiin.
Tämä on valtava muutos ja me olemme vasta sen alussa.
Mutta tässä tullaan nyt siihen kiinnostavan ristiriitaan. Vaikka tekoäly on pohjimmiltaan disruptiivista ja mullistavaa, sen arkinen johtaminen on – ja sen pitääkin olla – tylsää. Se vaatii samaa kurinalaisuutta, määrämuotoisuutta ja järjestelmällisyyttä kuin mikä tahansa muu kriittinen osa liiketoimintaa. Ehkä jopa enemmän.
Miksi oma standardi, jos tekoäly on osa kaikkea?
Kun puhun aiheesta, kohtaan usein hyvän kysymyksen: ”Jos tekoäly tulee osaksi kaikkea toimintaa, eikö se pitäisi vain sisällyttää olemassa oleviin hallintajärjestelmiin? Miksi erillinen ISO 42001, kun meillä on jo ISO 9001 laadunhallintaan ja ISO 27001 tietoturvaan?”
Kysymys on looginen. Ja pintapuolisesti katsottuna voisi tuntua siltä, että erillinen tekoälystandardi on turhaa byrokratiaa, mutta tekoäly poikkeaa kaikesta aiemmasta tietotekniikasta yhdellä ratkaisevalla tavalla.
Se oppii ja muuttuu toimiessaan.
Mieti tätä hetki. Jokainen muu järjestelmä, jonka olet koskaan ottanut käyttöön, tekee sitä mitä se on ohjelmoitu tekemään. Se ei muutu itsekseen. Se ei opi. Se ei ala käyttäytyä eri tavalla viikon päästä käyttöönotosta kuin ensimmäisenä päivänä. Jos se toimii poikkeavalla tavalla, on kyseessä yksiselitteisesti bugi ja vastuullinen taho on tiedossa.
Tekoälyn kanssa näin ei ole. Se on järjestelmä, joka oppii datasta, mukautuu käyttöön ja kehittyy jatkuvasti. Lisäksi vastuukysymykset eivät ole yhtä suoraviivaiset, koska kyseessä ei ole deterministinen ohjelmisto. Tämä tarkoittaa, että perinteiset tavat hallita teknologiaa eivät riitä.
Otetaan konkreettinen esimerkki: hallusinaatio.
Kun tekoälymalli ”hallusinoi” – eli tuottaa vakuuttavan kuuloista mutta täysin virheellistä tietoa – se ei ole bugi. Se ei ole ohjelmointivirhe, jonka voi raportoida toimittajalle ja odottaa korjausta. Kyseessä on teknologian ominaispiirre, joka on seurausta siitä, miten nämä mallit toimivat.
Kenen vastuulla se on? Ei ohjelmistotoimittajan, koska kyse ei ole viasta. Ei loppukäyttäjän, koska hän luottaa järjestelmään. Ei IT-osaston, koska kyse ei ole perinteisestä teknisestä ongelmasta.
Tämä vastuiden hämärtyminen on tekoälylle tyypillistä, eikä se koske vain hallusinaatiota. Sama ongelma toistuu, kun tekoäly tekee päätössuosituksia: kenen vastuulla on, jos suositus on vinoutunut? Entä kun tekoäly käsittelee henkilötietoja tavalla, jota alkuperäinen käyttötarkoitus ei kattanut? Entä kun tekoälypohjainen järjestelmä oppii organisaatiosi datasta jotain, mitä sen ei pitäisi – ja jakaa sen eteenpäin?
Nämä eivät ole hypoteettisia tilanteita. Nämä ovat asioita, joita organisaatiot kohtaavat jo nyt. Juuri tällaisten piirteiden hallintaan perinteiset hallintajärjestelmät eivät taivu. Ei siksi, että ne olisivat huonoja – vaan siksi, ettei niitä ole suunniteltu tätä varten.
ISO 42001 on rakennettu juuri näitä tilanteita varten. Se ottaa kantaa tekoälyn eettisyyteen, läpinäkyvyyteen, vastuullisuuteen ja riskienhallintaan tavalla, jota muut standardit eivät kata. Ja mikä parasta – se noudattaa samaa tuttua rakennetta kuin ISO 9001 ja ISO 27001.
Tuttu rakenne, uusi sisältö
Jos organisaatiosi noudattaa jo ISO 9001:tä, ISO 27001:tä tai ISO 27701:tä, sinulla on valtava etulyöntiasema.
ISO 42001 noudattaa samaa rakennetta kuin muutkin modernit ISO-hallintajärjestelmästandardit. Sama logiikka, samat periaatteet, sama PDCA-sykli – suunnittele, toteuta, arvioi, paranna.
Tämä tarkoittaa käytännössä sitä, että ISO 42001 ei ole irrallinen uusi maailma. Se on tavallaan ”lisäkerros”, joka istuu luontevasti osaksi olemassa olevaa hallintajärjestelmää ja jonka avulla saadaan tilkittyä ne aukot, joita tekoälyn myötä organisaation toiminnan hallintaan on tullut. Sinun ei tarvitse rakentaa mitään tyhjästä, riittää kun laajennat vähän sitä, mitä sinulla jo on.
Organisaation kontekstin ymmärtäminen ja johdon sitoutuminen? Se on sinulle jo tuttua ISO 9001:stä. Tietoturvan riskienhallinta? Sitä teet jo ISO 27001:n puitteissa. Tietosuojan sidosryhmien huomiointi? ISO 27701 on opettanut siinä.
Nyt laajennat näitä samoja käytäntöjä kattamaan tekoälyn erityispiirteet. Ja kun teet sen järjestelmällisesti, saat jotain arvokasta: yhden yhtenäisen tavan hallita tekoälyn tuomia riskejä ja mahdollisuuksia koko organisaatiossa.
Sen sijaan, että jokainen osasto yrittäisi itse ratkaista, miten tekoälyä käytetään vastuullisesti, sinulla on yhteinen viitekehys. Yhteiset pelisäännöt ja yhteinen kieli.
”Mutta tämähän vain hidastaa meitä”
Kun kaikki puhuvat nopeudesta ja siitä, miten tekoäly pitää ottaa käyttöön heti, hallintajärjestelmä tuntuu jarrulta. ”Emmekö voisi nyt vain ottaa tuon uuden työkalun käyttöön ja katsoa miten se toimii?”
Voisitte ja monet tekevätkin niin. Mutta tiedän, että siinä on omat haasteensa. Usein seuraa epävarmuutta. Kukaan ei ole varma, saako tätä käyttää. Kukaan ei tiedä, kenen vastuulla on, jos jokin menee pieleen. Ihmiset käyttävät tekoälyä ”piilossa”, koska pelkäävät, etteivät saa. Tai sitten he eivät käytä sitä lainkaan, koska eivät tiedä, mikä on sallittua.
Käytännössä aina näissä tilanteissa kyseessä on johtamisongelma, ei teknologiaongelma.
Hallintajärjestelmän tehtävä ei ole estää tai hidastaa. Sen tehtävä on mahdollistaa. Se vastaa niihin kysymyksiin, jotka muuten jäävät ilmaan: Miten tekoälyä saa käyttää? Kenen vastuulla on mitäkin? Miten riskejä hallitaan? Miten varmistetaan, ettei tehdä jotain typerästi?
Kun näihin kysymyksiin on vastattu selkeästi, tapahtuu jotain mielenkiintoista.
Ihmiset uskaltavat kokeilla. He tietävät rajat, ja rajojen sisällä he voivat toimia vapaasti. Epävarmuus vähenee, luottamus kasvaa ja paradoksaalisesti luovuus ja innovaatiot lisääntyvät.
Olen nähnyt useissa organisaatioissa, että kun on laadittu selkeät pelisäännöt – mitä saa käyttää, mihin tarkoitukseen, miten tulokset tarkistetaan ja kenen puoleen käännytään ongelmatilanteissa – kokeilut lisääntyivät ja ne muuttuivat laadukkaammiksi, koska ihmiset tietävät, missä rajoissa he toimivat.
Rakenne ei rajoita – se vapauttaa.
Tunnetaso ratkaisee transformaation onnistumisen
Ja lopuksi päästään asiaan, josta harvoin puhutaan hallintajärjestelmien yhteydessä: tunteisiin.
Tekoälytransformaatio on tunnetasolla raskas. Jotkut pelkäävät työpaikkojensa puolesta. Toiset kokevat riittämättömyyttä uuden teknologian edessä. Kolmannet ovat epävarmoja siitä, mitä heiltä odotetaan ja neljännet eivät näe tekoälyä muutoksena lainkaan. Ja jos organisaatio ei tarjoa rakennetta ja selkeyttä, nämä tunteet voimistuvat.
Hallintajärjestelmä – kyllä, se tylsä, määrämuotoinen, dokumentoitu hallintajärjestelmä – tuo tunnetason turvallisuutta. Se viestii: ”Meillä on tämä hallinnassa. Tiedämme mitä teemme. Sinun ei tarvitse yksin ratkaista, miten tekoälyyn pitäisi suhtautua.”
Tämä on johtamista parhaimmillaan. Et voi poistaa muutoksen aiheuttamaa epävarmuutta, mutta voit rakentaa ympäristön, jossa epävarmuus ei lamaannuta. Ja yksi tehokas tapa tehdä se on tuoda määrämuotoisuutta sinne, missä muuten vallitsee kaaos.
Oikein johdettuna ISO 42001 on samantapainen asia kuin turvallisuusohjeet lentokoneessa. Kukaan ei pidä niitä jännittävinä, mutta ne luovat tunteen siitä, että joku on miettinyt asiat valmiiksi. Että on olemassa suunnitelma, jos jotain tapahtuu. Ja juuri se tunne antaa matkustajille – tai tässä tapauksessa työntekijöille – rauhan keskittyä olennaiseen.
Mitä sinun kannattaa tehdä seuraavaksi
Tässä kolme konkreettista askelta, joista voit aloittaa:
1. Kartoita nykytila. Selvitä, missä kaikkialla tekoälyä jo käytetään organisaatiossasi. Lupaan, että tulokset yllättävät. Ihmiset käyttävät tekoälyä enemmän kuin luulet – ja useammassa paikassa kuin arvaatkaan.
2. Nimeä vastuut. Kuka vastaa tekoälyn käytöstä organisaatiossasi? Jos vastaus on ”ei kukaan” tai ”kaikki”, sinulla on ongelma. Tekoäly tarvitsee selkeän omistajuuden, aivan kuten tietoturva tai laadunhallinta.
3. Aloita keskustelu. Älä aloita hallintajärjestelmän rakentamisesta. Aloita keskustelusta. Puhu johtoryhmässä siitä, mitä tekoäly tarkoittaa juuri teidän organisaatiolle. Mitä riskejä siihen liittyy? Mitä mahdollisuuksia? Ja miten haluatte edetä?
Hallintajärjestelmä tulee sen jälkeen luontevasti, kun päätös edetä on tehty.
Entä jos sinulla ei vielä ole olemassa olevia hallintajärjestelmiä? Silloinkin ISO 42001 on hyvä lähtökohta. Se pakottaa ajattelemaan asioita, jotka muuten jäävät ajattelematta. Ja se antaa rakenteen, jota vasten voit peilata omaa toimintaasi – riippumatta siitä, haetko sertifikaattia vai et.
Tekoäly on tylsää – ja se on hyvä asia
Tiedän, että otsikko saattaa tuntua provosoivalta. Mutta tarkoitan sitä vilpittömästi.
Tekoäly on parhaimmillaan silloin, kun se on tylsää. Kun se on osa arkea ja kun sitä käytetään järjestelmällisesti, vastuullisesti ja hallitusti. Kun siitä ei tehdä isompaa numeroa kuin se on – mutta ei myöskään pienempää.
ISO 42001 on osa tätä ”tylsää” tekoälyä. Se ei ole seksikästä, eikä se myy keynote-puheenvuoroja, mutta se on juuri sitä, mitä organisaatiot tarvitsevat päästäkseen hypen ohi ja kohti todellista, kestävää hyötyä.
Hypen aika alkaa olla ohi. Nyt on tylsän, systemaattisen ja vastuullisen työn aika.
Ja hyvä niin.
