ИИ-риск это не отдельная категория в risk register. Это сквозной слой через всю компанию. APRA (Австралийский регулятор) в конце 2025 они провели deep-dive по крупнейшим игрокам, в апреле 2026 опубликовали выводы. Главный - ИИ внедряется быстрее, чем созревает управление им. Советы директоров с энтузиазмом одобряют слайды от вендоров, но не имеют ни грамотности, ни инструментов задать правильный вопрос. Кибербезопасность не успевает за новой поверхностью атак: prompt injection, утечки через интеграции, манипуляция автономными агентами, identity-management, не рассчитанный на нечеловеческих акторов. APRA перечисляет, какие домены организации одновременно затрагивает ИИ-риск: операционный риск, кибер- и информационная безопасность, управление данными, модельный риск, контроль изменений и релизов, правовое и нормативное соответствие, конфиденциальность, профессиональное поведение, закупки, зависимость от третьих сторон. Минимум, который APRA ожидает выстроить: • Нормативные рамки: политики, стандарты, руководящие принципы и линии отчётности • Ответственность за весь жизненный цикл ИИ — от проектирования до вывода из эксплуатации • Инвентарь моделей и use-cases • Человек в петле для высокорисковых решений • Обучение сотрудников Главный месседж APRA - перестаньте относиться к ИИ как к очередной технологии. Это другой класс систем: вероятностный, обучающийся, деградирующий со временем, с нечеловеческой агентностью. Sample-based аудит здесь не работает. Нужен непрерывный мониторинг и интегрированная гарантия по нескольким доменам сразу. В общем следует ожидать больше регулирования и надзора. https://www.apra.gov.au/apra-letter-to-industry-on-artificial-intelligence-ai