הבינה המלאכותית הגנרטיבית (יוצרת, או בקיצור GenAI) אינה מגמה חולפת. היא משנה באופן מהותי את אופן פעולתם של ארגונים. על-רקע זה, פרסם ארגון COSO ביום 31.3.2026 הנחיה חדשה שמטרתה לסייע לארגונים להתמודד עם סיכוני הבינה המלאכותית תוך חיזוק מערך הבקרה הפנימית
1.
COSO הוא גוף בינלאומי שמפתח מסגרות לניהול סיכונים ובקרה פנימית, אשר הפכו לסטנדרט עולמי בממשל תאגידי. הנחיה שכותרתה "השגת בקרה פנימית אפקטיבית על בינה מלאכותית יוצרת", מציעה מפת דרכים מעשית ליישום מסגרת הבקרה הפנימית המשולבת של COSO על מערכות GenAI. מדובר בהתפתחות טבעית של גוף אשר הנחיותיו, ובפרט מודל הבקרה הפנימית וניהול הסיכונים הארגוני (ERM), הפכו לאורך השנים לסטנדרט עולמי בניהול סיכונים, בקרה וממשל תאגידי.
יש להזכיר כי מבין עשרות הפרסומים של COSO, מסגרת הבקרה הפנימית (Internal Control Integrated Framework) מהווה אבן יסוד, אשר שימשה גם בסיס לפיתוח מסגרת ניהול הסיכונים הארגוני. עתה, אותה מסגרת מותאמת לאחד האתגרים המרכזיים של העידן הנוכחי, הבינה המלאכותית.
מערכות GenAI מאפשרות ייעול משמעותי של תהליכים בתחומי הכספים, התפעול והציות, החל מניתוח נתונים והצלבת מידע, דרך זיהוי חריגים, ועד הפקת תובנות ותמיכה בקבלת החלטות בקצב גבוה. "הבינה המלאכותית הגנרטיבית משנה את אופן עבודת הארגונים, קבלת ההחלטות וניהול המידע", ציינה לוסיה ווינד, יו"ר ומנכ"לית COSO, והדגישה כי לצד הפוטנציאל המשמעותי, נדרש פיקוח הדוק המבוסס על עקרונות בקרה פנימית מוכחים.
עם זאת, ההנחיה אינה מתעלמת מהסיכונים. היא מצביעה על שורה של אתגרים חדשים, בהם מתקפות מבוססות פרומפטים (prompt injection), תהליכי הסקה שאינם שקופים, סטיות במודלים (model drift) ושינויים תכופים במערכות. ללא ניהול שיטתי, סיכונים אלה עלולים לפגוע באמינות הדיווח הכספי, בעמידה בדרישות רגולטוריות ואף ביציבות התפעולית של הארגון.
החלקתה של COSO שלא להציע מסגרת ממשל חדשה, אלא להישען על המסגרת הקיימת, מחזקת את המודל המבוסס על חמשת רכיבי הבקרה הפנימית: סביבת בקרה, הערכת סיכונים, פעילויות בקרה, מידע ותקשורת וניטור. בכך מאותתת COSO לשוק כי המציאות החדשה אינה מחייבת החלפת עקרונות, אלא התאמתם לסביבה טכנולוגית דינמית.
במקום להתמקד במערכות או ספקים, ההנחיה מנתחת את השימושים ב GenAI דרך שמונה קטגוריות פונקציונליות: קליטה, טרנספורמציה, רישום, תזמון, שיפוט, ניטור, שליפת ידע ואינטראקציה בין אדם למכונה. חלוקה זו מאפשרת לזהות היכן נוצרים סיכונים וכיצד הם מתפתח לאורך מחזור החיים, מנתונים ועד קבלת החלטות. המסמך אינו מסתפק בעקרונות תאורטיים. הוא כולל מיפוי בקרות המוכן לביקורת, קובע ציפיות מינימום לבקרות, ומספק כלים יישומיים המאפשרים הטמעה בפועל.
החידוש המרכזי בהנחיה טמון בשילוב בין מסגרת מושגית לבין כלים אופרטיביים. בין היתר מוצגים מודל מיפוי בקרות לפי רכיבי COSO וסוגי שימוש ב-AI, מטריצות להערכת סיכונים דינמיות המתעדכנות עם שינויי מודל ודאטה, מתודולוגיות לבחינת אפקטיביות הבקרה כגון human-in-the-loop
2, בדיקות ביצועים והשוואה בין מודלים, וכן לוחות מחוונים לניטור מדדי איכות כמו דיוק, הטיות וסטיות. בנוסף, ההנחיה כוללת תבניות לתיעוד, נהלי בדיקה, ומסגרת יישום מחזורית הכוללת מיפוי שימושים, הערכת סיכונים, תכנון בקרות, הטמעה וניטור מתמשך. בכך COSO מספקת לא רק עקרונות, אלא ארגז כלים מלא ליישום בקרה אפקטיבית על מערכות בינה מלאכותית.
המסר המרכזי של COSO ברור: הבינה המלאכותית אינה משנה את עקרונות הבקרה, אך היא משנה את הסיכונים, את קצב הפעילות ואת עוצמת ההשפעה. ארגונים שיטמיעו כבר כעת מנגנוני בקרה מותאמים, יוכלו לא רק לצמצם סיכונים, אלא גם למצות את הפוטנציאל הגלום בטכנולוגיה בצורה אחראית, שקופה ואפקטיבית.