ГК Softline: К 2030-му в компаниях может появиться новая C-level должность

Есть странная корпоративная закономерность: как только технология перестает быть «пилотом для энтузиастов» и становится инфраструктурой, у нее появляется надзор.
Сначала она просто «помогает», потом «влияет на деньги», затем «влияет на репутацию», а дальше уже влияет на все — и внезапно выясняется, что без ответственного взрослого в комнате нельзя. Алексей Пилипчук, технический директор ГК Softline, уверен, что с искусственным интеллектом мы как раз в этой точке.
За последние два года генеративный ИИ перескочил из игрушки для текста в универсальный слой автоматизации: он пишет, суммирует, классифицирует, подсказывает решения, ранжирует, обслуживает клиентов и сотрудников, а местами уже управляет процессами через агентные сценарии. По данным McKinsey, в начале 2024 года 65% респондентов сообщили, что их организации регулярно используют генеративный ИИ. По наблюдениям экспертов ГК Softline, чем шире ИИ встраивается в рабочие процессы, тем быстрее вопрос «что умеет модель» сменяется вопросом «кто несет ответственность за ее ошибки».
Почему «ИИ-риски» — это не только про этику
В корпоративной реальности риски ИИ — это три больших блока, и все три неприятны.
- Первый — классические управленческие риски: смещения (bias), «галлюцинации», непредсказуемость поведения модели при смене данных или контекста, деградация качества, юридические последствия. В ГК Softline обращают внимание, что особенно опасны не единичные ошибки модели, а ситуации, когда они незаметно масштабируются вместе с автоматизированным процессом.
- Второй — риски безопасности в прямом смысле: атаки на модели, отравление данных, извлечение чувствительной информации из подсказок и контекста, компрометация цепочек поставок — модели, провайдера, плагинов, агентов. На фоне того, что киберпреступность в целом дорожает, Cybersecurity Ventures оценивали глобальные издержки в $10,5 трлн в год к 2025 году, любое новое слабое место мгновенно монетизируется.
По мнению специалистов ГК Softline, ИИ здесь нельзя рассматривать отдельно от общей архитектуры информационной безопасности: модель становится еще одной точкой доступа к данным, инфраструктуре и бизнес-процессам.
- Третий — регуляторный. Если раньше компании спорили о слове «этика», то теперь спорят о слове «штраф». Общеевропейский регламент об искусственном интеллекте закрепляет существенные санкции за нарушения: в ряде случаев речь может идти о сумме до €35 млн или до 7% мирового оборота — в зависимости от категории нарушения. Даже если бизнес не работает в ЕС, партнеры и заказчики начинают «привозить» требования в контрактах, как когда-то привезли Общий регламент по защите данных (GDPR).
Алексей Пилипчук из ГК Softline считает, что именно договорные требования могут стать для многих российских компаний первым реальным стимулом формализовать управление ИИ-рисками.
Что именно будет делать «директор по рискам ИИ»
У крупных компаний уже формируется должность директора по искусственному интеллекту (CAIO) — человека, отвечающего за стратегию внедрения ИИ и ценность для бизнеса. IBM, например, описывает роль CAIO как связующее звено между бизнесом и технологией и фиксирует, что там, где CAIO встроен в управление, компании чаще видят измеримый эффект от инвестиций в ИИ.
В ГК Softline отмечают, что одновременно с этим возникает конфликт интересов: тот, кто отвечает за рост и рентабельность инвестиций, редко бывает лучшим кандидатом на роль главного скептика. В этот момент и появляется идея отдельной функции — директора по рискам искусственного интеллекта (CAIRO): руководителя, который отвечает не за «внедрить больше ИИ», а за «внедрить так, чтобы не сгореть».
ISACA прямо описывает CAIRO как новую роль, которая закрывает риски ИИ, на которые у CAIO не хватает ресурса, и подчеркивает, что эта позиция может стать столь же важной, как классические риск-функции.
Если перевести концепцию на язык корпоративной практики, CAIRO — это не «моральный камертон», а владелец системы управления рисками ИИ по всему жизненному циклу: от инвентаризации моделей и сценариев использования до мониторинга качества и расследования инцидентов. Для ГК Softline такой подход принципиален: контролировать нужно не только саму модель, но и данные, интеграции, права доступа, внешних поставщиков и решения, которые принимаются на ее основе.
Здесь полезно смотреть на то, как мир уже стандартизирует управление рисками ИИ. Во-первых, практическая рамка инженерии доверия к системам ИИ NIST AI RMF 1.0 предлагает структуру управления ИИ-рисками через функции govern, map, measure, manage — то есть управлять, описывать контекст, измерять и контролировать.
Во-вторых, Международная организация по стандартизации выпустила ISO/IEC 42001:2023 — первый международный стандарт системы менеджмента ИИ, где управление рисками и контролями становится процессом, а не набором разовых согласований.
На практике это выльется в понятные артефакты и процессы: реестр ИИ-кейсов, правила работы с данными, требования к объяснимости, политика тестирования, «красные команды» для моделей, сценарии реагирования на инциденты, контроль поставщиков и внешних моделей, требования к логированию и аудиту.
Эксперты ГК Softline отдельно подчеркивают важность постоянного мониторинга. ИИ не статичен: он меняется вместе с данными, контекстом, интеграциями и людьми, которые используют его творчески.
Отсюда логично появляется концепция AI control room — центра наблюдения за тем, что модели делают в промышленной эксплуатации, где они ошибаются, какие решения принимают и где начинаются системные отклонения. В «Софтлайн Решения» считают, что такой центр со временем может стать для крупных компаний тем же, чем сегодня является SOC для кибербезопасности: постоянной функцией наблюдения, анализа и реагирования.
Это не футуризм, а естественный ответ на то, что ИИ становится цифровым сотрудником, а у цифрового сотрудника тоже должен быть руководитель по рискам.
Почему именно сейчас: советы директоров уже в теме
Показательно, что вопрос управления ИИ поднимается на уровень генерального директора и советов директоров. В отчете McKinsey 2025 года отмечается, что часть компаний уже закрепляет ответственность за AI governance — систему правил, ролей и процессов, позволяющую безопасно и предсказуемо использовать ИИ, — за CEO и/или советом директоров.
По мнению Алексея Пилипчука, технического директора ГК Softline, это важный сигнал: ИИ перестает быть делом только ИТ-службы и становится частью корпоративного управления.
А дальше включается старая корпоративная механика: как только у совета директоров появляется регулярная повестка, у нее появляется владелец. С главным офицером по информационной безопасности (CISO) это произошло, когда киберинциденты стали новостями и финансовыми событиями. С директором по рискам искусственного интеллекта (CAIRO) происходит то же самое — просто инциденты пока чаще выглядят как «неловкая история с моделью», а не как остановка бизнеса. Но рынок быстро научится упаковывать их в деньги.
Есть три жизнеспособные модели подчинения.
- Первая — CISO, если компания рассматривает ИИ как часть поверхности атаки и общего профиля рисков безопасности. Это логично там, где ИИ встраивается в критичные процессы, инфраструктуру, промышленность и клиентские каналы.
- Вторая — Chief Risk Officer (CRO), риск-функция или комплаенс, если основной драйвер — регуляторика и ответственность перед внешними стейкхолдерами.
- Третья — напрямую генеральному директору или совету директоров, если ИИ становится ключевым конкурентным преимуществом, а связанные с ним риски — стратегическими.
ISACA как раз указывает, что директор по рискам искусственного интеллекта может подчиняться и CAIO, и руководителю риск-функции, и напрямую высшему руководству — в зависимости от зрелости и масштаба компании.
Что делать компаниям уже сейчас, чтобы не «достраивать роль на пожаре»
Самый прагматичный вывод: CAIRO не обязательно нанимать завтра утром, но функцию управления рисками ИИ создавать нужно уже сейчас. Иначе она появится позже, в режиме кризисного штаба.
В ГК Softline рекомендуют начинать не с новой должности, а с распределения ответственности: понять, где ИИ уже используется «снизу», завести реестр кейсов, определить их критичность, назначить владельцев, описать минимальные контроли, настроить мониторинг качества и инцидентов.
Это похоже на кибербезопасность двадцать лет назад: сначала никто не хотел лишней бюрократии, потом все удивлялись, почему ее не было.
ИИ — это технология, которая умеет производить смысл. А смысл — штука дорогая и токсичная одновременно: он влияет на решения людей. Поэтому «директор по рискам ИИ» — не модная должность, а попытка вернуть в систему управления тот самый человеческий здравый смысл, который мы так старательно автоматизируем.