סקירת הספרות של Ian Herzing בוחנת את המעבר ממדיניות GenAI כללית למנגנוני GRC ארגוניים. היא נשענת על 37 מקורות, בהם מחקרים, תקנים והנחיות מקצועיות. עיקר הידע הרלוונטי התרכז בשנים 2019 עד 2026.
הממצא הראשון הוא התכנסות מסגרות. NIST, ISO, EU AI Act והנחיות ארגוניות מדברות בשפה דומה. הן דורשות ניהול סיכונים, תיעוד והסבריות. החולשה נמצאת בפרטים: מהי בקרה מספקת, מי מאשר אותה, ואיזו ראיה מוכיחה ביצוע.
מודל הבקרה המרכזי עובר למחזור החיים של המערכת. לא בודקים רק את המודל לפני עלייה לאוויר. בוחנים נתונים, שימוש, ניטור ושינויים לאורך זמן. זה דורש תהליך קבוע, עם בעלי תפקידים מוגדרים.
הבעיה הקשה ביותר היא ביקורתיות. מבקר פנימי או רגולטור צריכים לראות ראיות. בארגונים רבים יש מדיניות, אך אין חבילות ראיה תקניות. חסרים יומני החלטות, תיעוד חריגות, אישורי שינוי ומדדי סיכון עקביים.
הפער הניהולי נמצא באחריות מתמשכת. מי מחליט שמערכת GenAI בטוחה לשימוש עסקי. מי עוקב אחרי שינוי בביצועים. מי עוצר שימוש כאשר הסיכון עולה. בלי תשובות ברורות, GRC נשאר מסמך נאה ולא מנגנון בקרה.


