Τι Πρέπει να Ρωτούν οι GP Πριν Υιοθετήσουν AI που Αγγίζει Δεδομένα Επενδυτών

Κάθε λογισμικό που χρησιμοποιεί ένας GP περιλαμβάνει πλέον AI. Το CRM άντλησης κεφαλαίων διαθέτει βοηθό συγγραφής. Το λογιστικό εργαλείο κατηγοριοποιεί συναλλαγές μόνο του. Το portal επενδυτών προσφέρεται να συντάξει ενημερώσεις προς τους LP. Τα περισσότερα από αυτά είναι πραγματικά χρήσιμα. Απλώς ο ρυθμός υιοθέτησης έχει ξεπεράσει τα ερωτήματα — και αυτό το κενό καλύπτεται με μια σύντομη συζήτηση με κάθε προμηθευτή.

Αυτά τα δεδομένα είναι που καθιστούν αξιόλογη την προσεκτική αντιμετώπιση του ζητήματος. Ένας GP που διαχειρίζεται ένα fund κατέχει ορισμένες από τις πιο ευαίσθητες προσωπικές πληροφορίες που χειρίζεται ποτέ μια μικρή επιχείρηση: αριθμούς κοινωνικής ασφάλισης και ΑΦΜ επενδυτών, αριθμούς τραπεζικών λογαριασμών και routing numbers, οικονομικά στοιχεία διαπιστευμένων επενδυτών, αντίγραφα διπλωμάτων οδήγησης και διαβατηρίων από ελέγχους KYC, καθώς και το πλήρες ιστορικό distributions κάθε ατόμου που εμπιστεύτηκε στον GP τα κεφάλαιά του. Όταν μια δυνατότητα AI επεξεργάζεται οποιοδήποτε από αυτά, τα δεδομένα μπορούν να διέλθουν από περισσότερα μέρη από όσα υποδηλώνει η οθόνη σύνδεσης — και ο GP είναι αυτός που λογοδοτεί για αυτήν την αλυσίδα.

Η διαχείριση επενδύσεων βρίσκεται αρκετά κοντά στον τραπεζικό κλάδο ώστε τα διακυβεύματα εδώ να είναι υψηλότερα από ό,τι στους περισσότερους κλάδους — και ακριβώς γι' αυτό οι GP που υιοθετούν σωστά το AI τώρα γίνονται οι αξιόπιστοι επαγγελματίες στην ομάδα τους. Αυτός ο οδηγός καλύπτει το πώς να το πετύχετε: τι να κάνετε, τι να αποφύγετε και τις συγκεκριμένες ερωτήσεις που πρέπει να θέσετε σε κάθε προμηθευτή του οποίου το προϊόν έχει ενσωματωμένο AI.

Γιατί το PII στις λειτουργίες fund αποτελεί ειδική περίπτωση

Οι προσωπικά αναγνωρίσιμες πληροφορίες (PII) είναι οποιαδήποτε δεδομένα μπορούν να ταυτοποιήσουν ένα συγκεκριμένο άτομο, είτε αυτόνομα είτε σε συνδυασμό με άλλα δεδομένα. Στο πλαίσιο ενός fund, τα προφανή στοιχεία είναι οι ΑΦΜ, τα τραπεζικά στοιχεία και τα έγγραφα που εκδίδονται από κρατικές αρχές. Σημασία έχουν και τα λιγότερο προφανή στοιχεία: το όνομα ενός επενδυτή συνδεδεμένο με το ποσό της δέσμευσής του, μια διεύθυνση email συνδεδεμένη με ένα πρόγραμμα distributions ή ένας αριθμός τηλεφώνου συνδεδεμένος με μια ειδοποίηση capital call. Όλα αυτά μπορούν να ταυτοποιήσουν ένα άτομο και να αποκαλύψουν κάτι ιδιωτικό για τα οικονομικά του.

Τρία πράγματα καθιστούν αυτήν την κατηγορία ευαίσθητη ειδικά για τους GP.

Πρώτον, τα δεδομένα είναι συγκεντρωμένα και υψηλής αξίας. Η λίστα επενδυτών ενός μόνο fund είναι ένα συμπαγές αρχείο ακριβώς των πληροφοριών που επιθυμούν περισσότερο οι κλέφτες ταυτότητας και οι απατεώνες. Δεν υπάρχει PII χαμηλής αξίας σε ένα subscription document.

Δεύτερον, η σχέση είναι καταπιστευματική (fiduciary). Οι LP συναίνεσαν να επενδύσουν με έναν GP που εμπιστεύονται — όχι στο να επεξεργάζονται τον ΑΦΜ τους υπηρεσίες για τις οποίες δεν ενημερώθηκαν. Η εμπιστοσύνη είναι το περιουσιακό στοιχείο και για τις δύο πλευρές, και η προστασία της αποτελεί μέρος του καταπιστευματικού καθήκοντος.

Τρίτον, η κανονιστική διάσταση είναι υπαρκτή ακόμη και όταν φαίνεται μακρινή. Ανάλογα με τη δομή του fund, τους επενδυτές και τις δικαιοδοσίες, ένας GP ενδέχεται να εμπίπτει σε υποχρεώσεις βάσει νόμων περί προστασίας προσωπικών δεδομένων όπως ο GLBA στις Ηνωμένες Πολιτείες, πολιτειακών νόμων όπως ο CCPA και του GDPR για οποιουσδήποτε Ευρωπαίους επενδυτές. Οι fund administrators συχνά διαθέτουν εξετάσεις SOC 2 ακριβώς επειδή οι πελάτες τους χρειάζονται διασφάλιση ως προς τη διαχείριση δεδομένων. Οι δυνατότητες AI δεν εξαιρούνται από κανέναν από αυτούς τους κανόνες. Εάν ένα εργαλείο αποστέλλει PII επενδυτών σε ένα μοντέλο, αυτή η μεταφορά υπόκειται στους ίδιους κανόνες με οποιαδήποτε άλλη επεξεργασία δεδομένων.

Πώς διαχειρίζονται πραγματικά τα δεδομένα σας τα εργαλεία AI, και γιατί έχει σημασία

Για να αξιολογήσετε ένα εργαλείο, βοηθά να γνωρίζετε τι συμβαίνει γενικά όταν μια δυνατότητα AI επεξεργάζεται δεδομένα. Υπάρχουν μερικά μοτίβα, και ενέχουν πολύ διαφορετικό κίνδυνο.

Ορισμένα εργαλεία αποστέλλουν τα δεδομένα σας στο API ενός τρίτου παρόχου μοντέλων για επεξεργασία και δεν τα διατηρούν ούτε εκπαιδεύονται σε αυτά. Αυτό είναι σύνηθες και μπορεί να γίνει με ασφάλεια, αλλά σημαίνει ότι τα δεδομένα των επενδυτών σας εγκαταλείπουν το περιβάλλον του προμηθευτή και ταξιδεύουν προς μια άλλη εταιρεία. Θέλετε να γνωρίζετε ποια είναι αυτή η εταιρεία και τι αναφέρουν οι όροι της.

Ορισμένα εργαλεία εκτελούν μοντέλα στη δική τους υποδομή, οπότε τα δεδομένα δεν εγκαταλείπουν ποτέ το περιβάλλον τους. Αυτό μειώνει τον αριθμό των εμπλεκόμενων μερών, αν και αποδίδει μεγαλύτερο βάρος στη στάση ασφαλείας αυτού του μεμονωμένου προμηθευτή.

Λιγότερο συχνά, ορισμένα εργαλεία χρησιμοποιούν δεδομένα πελατών για να εκπαιδεύσουν ή να βελτιώσουν τα μοντέλα τους. Αυτό είναι το μοτίβο που πρέπει να προσέχετε περισσότερο, επειδή μπορεί να σημαίνει ότι θραύσματα των δεδομένων των επενδυτών σας γίνονται μέρος ενός μοντέλου με το οποίο αλληλεπιδρούν άλλοι πελάτες. Οι αξιόπιστοι enterprise προμηθευτές γενικά το αποκλείουν συμβατικά, αλλά τα εργαλεία καταναλωτικού επιπέδου και τα δωρεάν εργαλεία συχνά κάνουν το αντίθετο, με όρους που παραχωρούν ευρέα δικαιώματα χρήσης του υποβληθέντος περιεχομένου.

Ο λόγος που έχει σημασία αυτή η διάκριση: μια δυνατότητα AI σπάνια είναι αυτοτελής. Συνήθως είναι μια αλυσίδα. Το λογισμικό του προμηθευτή καλεί έναν πάροχο μοντέλων, ο οποίος μπορεί να εκτελείται σε έναν cloud host, ο οποίος μπορεί να έχει τους δικούς του subprocessors. Κάθε κρίκος είναι ένα σημείο όπου η διαχείριση δεδομένων έχει σημασία. Η αξιολόγηση του εργαλείου σημαίνει να κατανοήσετε ολόκληρη την αλυσίδα, όχι μόνο το λογότυπο στην οθόνη σύνδεσης.

Τι να κάνετε

Τα καλά νέα είναι ότι η αξιολόγηση είναι απλή μόλις γνωρίζετε τι να ρωτήσετε. Κανένα από αυτά τα βήματα δεν απαιτεί υπόβαθρο σε θέματα ασφαλείας — απαιτούν την ίδια λειτουργική πειθαρχία που οι GP εφαρμόζουν ήδη στον έλεγχο δανειστών και στην επιλογή fund admin.

Καταγράψτε πού ρέει ήδη το PII. Πριν αξιολογήσετε οποιαδήποτε νέα δυνατότητα AI, μάθετε ποια από τα τρέχοντα εργαλεία σας αγγίζουν ήδη PII επενδυτών και με ποιον τρόπο. Οι περισσότεροι GP εκπλήσσονται από την απάντηση. Το CRM, το εργαλείο ηλεκτρονικής υπογραφής, το λογιστικό σύστημα, το τραπεζικό portal και το λογισμικό του φοροτεχνικού κατέχουν όλα κομμάτια αυτού. Δεν μπορείτε να διαχειριστείτε αυτό που δεν έχετε χαρτογραφήσει.

Διαβάστε τους όρους επεξεργασίας δεδομένων, ειδικά τη ρήτρα περί AI. Οι προμηθευτές δημοσιεύουν ολοένα και περισσότερο ένα προσάρτημα επεξεργασίας δεδομένων (DPA) και, ξεχωριστά, όρους που καλύπτουν τις δυνατότητες AI. Βρείτε την πρόταση που αναφέρει αν τα δεδομένα σας χρησιμοποιούνται για την εκπαίδευση μοντέλων. Εάν δεν μπορείτε να βρείτε αυτήν την πρόταση, αυτή η απουσία αποτελεί από μόνη της απάντηση, και θα πρέπει να ρωτήσετε τον προμηθευτή απευθείας εγγράφως.

Ζητήστε τη λίστα των subprocessors. Κάθε σοβαρός B2B προμηθευτής διατηρεί μια λίστα των τρίτων μερών με τα οποία μοιράζεται δεδομένα, συμπεριλαμβανομένων των παρόχων μοντέλων και των cloud hosts. Ζητήστε τη. Η λίστα σάς λέει ποιος βρίσκεται πραγματικά στην αλυσίδα και σας επιτρέπει να ελέγξετε αν αυτά τα μέρη είναι από μόνα τους αξιόπιστα.

Απαιτήστε ελαχιστοποίηση δεδομένων. Το ασφαλέστερο PII είναι το PII που το AI δεν βλέπει ποτέ. Προτιμήστε εργαλεία που σας επιτρέπουν να ελέγχετε σε ποια δεδομένα μπορεί να έχει πρόσβαση μια δυνατότητα, που αποκρύπτουν (redact) ή tokenize ευαίσθητα πεδία πριν την επεξεργασία και που διατηρούν τις δυνατότητες AI περιορισμένες στην εκάστοτε εργασία αντί να τους παρέχουν καθολική πρόσβαση σε ολόκληρη τη βάση δεδομένων των επενδυτών σας.

Επαληθεύστε το βασικό επίπεδο ασφαλείας. Για οτιδήποτε σχετίζεται με τον τραπεζικό κλάδο, μια αναφορά SOC 2 Type II αποτελεί σχεδόν εκ των ων ουκ άνευ. Ζητήστε τη. Η κρυπτογράφηση κατά τη μεταφορά και σε ηρεμία θα πρέπει να είναι standard. Για Ευρωπαίους επενδυτές, επιβεβαιώστε ότι ο προμηθευτής μπορεί να υποστηρίξει τις υποχρεώσεις του GDPR, συμπεριλαμβανομένης της εντοπιότητας δεδομένων (data residency) εφόσον χρειάζεται.

Διατηρήστε έναν άνθρωπο στη διαδικασία για οτιδήποτε μετακινεί χρήματα ή απευθύνεται σε επενδυτές. Ένα προσχέδιο AI για μια ενημέρωση LP είναι μια χαρά ως σημείο εκκίνησης. Ένα έμβασμα που ξεκινά από AI είναι μια διαφορετική κατηγορία κινδύνου. Όσο πιο κοντά φτάνει μια δυνατότητα στη μετακίνηση χρημάτων ή στην εξωτερική επικοινωνία, τόσο περισσότερο θα πρέπει ένας άνθρωπος να ελέγχει πριν οριστικοποιηθεί οτιδήποτε.

Καταγράψτε το εγγράφως με τους επενδυτές σας και στις δικές σας πολιτικές. Ενημερώστε την πολιτική απορρήτου σας και τις επικοινωνίες σας με τους LP ώστε να αντικατοπτρίζουν τον τρόπο με τον οποίο χρησιμοποιείτε πραγματικά το AI και ποιες προστασίες υπάρχουν. Οι επενδυτές ρωτούν ολοένα και περισσότερο. Το να μπορείτε να απαντήσετε με σαφήνεια αποτελεί ανταγωνιστικό πλεονέκτημα στην άντληση κεφαλαίων.

Τι να μην κάνετε

Μην επικολλάτε PII επενδυτών σε εργαλεία AI γενικής χρήσης καταναλωτικού επιπέδου. Το δωρεάν chatbot είναι το πιο συνηθισμένο σημείο όπου τα δεδομένα των επενδυτών καταλήγουν εκτός των συμβατικά καλυμμένων συστημάτων. Το να ρίξετε ένα subscription document ή ένα λογιστικό φύλλο distributions σε έναν βοηθό καταναλωτικού επιπέδου για να το «καθαρίσετε» μπορεί να σημαίνει ότι αυτά τα δεδομένα διατηρούνται ή χρησιμοποιούνται για εκπαίδευση βάσει όρων που κανείς δεν διάβασε. Διατηρήστε το PII των επενδυτών εντός αξιολογημένων, συμβατικά καλυμμένων επιχειρηματικών συστημάτων.

Μην υποθέτετε ότι ένα enterprise λογότυπο σημαίνει enterprise όρους δεδομένων. Ένας γνωστός προμηθευτής μπορεί να εξακολουθεί να διαθέτει ένα δωρεάν ή χαμηλό tier με επιτρεπτικούς όρους δεδομένων. Οι προστασίες συχνά βρίσκονται στο επί πληρωμή πλάνο ή στο διαπραγματευμένο συμβόλαιο. Επιβεβαιώστε ποιοι όροι ισχύουν για το πλάνο στο οποίο βρίσκεστε πραγματικά.

Μην αντιμετωπίζετε το «χρησιμοποιούμε AI» ως μια δυνατότητα προς εορτασμό χωρίς να ρωτήσετε με ποιον τρόπο. Ένας προμηθευτής που προωθεί έντονα το AI αλλά δεν μπορεί να εξηγήσει πού πηγαίνουν τα δεδομένα σάς λέει κάτι. Οι καλοί προμηθευτές απαντούν εύκολα σε αυτές τις ερωτήσεις επειδή έχουν ήδη κάνει τη δουλειά.

Μην αφήνετε να συσσωρεύεται shadow AI. Όταν μεμονωμένα μέλη της ομάδας υιοθετούν το καθένα τα δικά του εργαλεία AI χωρίς έλεγχο, το fund καταλήγει με δεδομένα επενδυτών διασκορπισμένα σε υπηρεσίες που κανείς δεν παρακολουθεί. Αποφασίστε ως οργανισμός ποια εργαλεία είναι εγκεκριμένα για ποια δεδομένα.

Μην υπερβάλλετε φτάνοντας στο σημείο να μην κάνετε τίποτα. Η αντίστροφη αποτυχία είναι επίσης υπαρκτή. Η άρνηση κάθε χρήσης AI για να αποφευχθεί το ζήτημα των δεδομένων αφήνει έναν GP πιο αργό και πιο χειροκίνητο από τους ομοτίμους του που υιοθέτησαν προσεκτικά. Ο στόχος είναι η ελεγχόμενη υιοθέτηση, όπου οι χρήσιμες δυνατότητες χρησιμοποιούνται και τα δεδομένα προστατεύονται ταυτόχρονα.

Μια πρακτική λίστα ελέγχου αξιολόγησης για λογισμικό με ενσωματωμένο AI

Όταν αξιολογείτε ένα εργαλείο με δυνατότητες AI, εξετάστε αυτές τις ερωτήσεις μαζί με τον προμηθευτή. Λάβετε τις απαντήσεις εγγράφως όπου είναι δυνατόν.

10 ερωτήσεις που πρέπει να θέσετε πριν το AI αγγίξει τα δεδομένα των επενδυτών σας, ομαδοποιημένες σε διαχείριση δεδομένων, βασικό επίπεδο ασφαλείας και συμμόρφωση και έλεγχο

Σε ποια δεδομένα έχει πρόσβαση η δυνατότητα AI και μπορούμε να περιορίσουμε το εύρος της;
Αποστέλλονται τα δεδομένα μας σε τρίτο πάροχο μοντέλων, και εάν ναι, σε ποιον;
Χρησιμοποιούνται ποτέ τα δεδομένα μας για την εκπαίδευση ή τη βελτίωση οποιουδήποτε μοντέλου; (Θέλετε ένα ξεκάθαρο όχι, στο συμβόλαιο.)
Διατηρούνται τα δεδομένα μετά την επεξεργασία; Για πόσο διάστημα, και μπορούμε να απαιτήσουμε διαγραφή;
Ποιοι είναι οι subprocessors σας, και μπορούμε να δούμε την τρέχουσα λίστα;
Διαθέτετε αναφορά SOC 2 Type II, και μπορούμε να την εξετάσουμε;
Είναι τα δεδομένα κρυπτογραφημένα κατά τη μεταφορά και σε ηρεμία;
Μπορείτε να υποστηρίξετε τις απαιτήσεις GDPR και εντοπιότητας δεδομένων για τους Ευρωπαίους επενδυτές μας;
Τι συμβαίνει με τα δεδομένα μας αν αποχωρήσουμε; Πώς επιστρέφονται ή καταστρέφονται;
Υπάρχει βήμα ανθρώπινου ελέγχου για οποιαδήποτε ενέργεια AI που μετακινεί χρήματα ή επικοινωνεί με επενδυτές;

Έναν προμηθευτή που απαντά σε αυτά πρόθυμα μπορείτε πιθανότατα να τον εμπιστευτείτε με δεδομένα επενδυτών. Έναν προμηθευτή που αποφεύγει, καθυστερεί ή αντιμετωπίζει τις ερωτήσεις ως ασυνήθιστες σας δείχνει την απάντηση με διαφορετική μορφή.

Πώς εξελίσσεται αυτό στη διαχείριση επενδύσεων και στο fund admin

Ο λόγος που αυτές οι ερωτήσεις βαραίνουν περισσότερο στις λειτουργίες fund από ό,τι, ας πούμε, σε ένα εργαλείο marketing είναι ότι τα δεδομένα και τα χρήματα βρίσκονται στα ίδια συστήματα. Μια δυνατότητα AI που προστίθεται οπουδήποτε στο stack κληρονομεί την έκθεση δεδομένων ολόκληρης αυτής της διάταξης.

Τα περισσότερα tech stacks των sponsors αποτελούνται από τέσσερις έως έξι ασύνδετους προμηθευτές — η άντληση κεφαλαίων σε ένα σημείο, ο τραπεζικός κλάδος σε άλλο, τα distributions σε ένα λογιστικό φύλλο, τα αρχεία επενδυτών σε ένα CRM. Κάθε σύνδεση μεταξύ αυτών των συστημάτων είναι μια μεταβίβαση όπου μετακινείται PII, και κάθε μεταβίβαση είναι κάτι που πρέπει να διαχειριστεί. Οι GP με τους οποίους συνεργαζόμαστε στο Covercy One εκτελούν την άντληση κεφαλαίων, τα αρχεία επενδυτών, τις τραπεζικές εργασίες και τα distributions σε μία ενιαία πλατφόρμα όπου οι τραπεζικές εργασίες και οι πληρωμές είναι ενσωματωμένες (native) αντί για προσαρτημένες. Λιγότερα συστήματα που κατέχουν PII επενδυτών σημαίνει λιγότερους προμηθευτές προς αξιολόγηση, λιγότερες λίστες subprocessors προς κυνήγημα και λιγότερες αλυσίδες μερών προς λογοδοσία. Δεν εξαλείφει την ανάγκη να θέσετε τις ερωτήσεις αυτού του άρθρου — μειώνει τον αριθμό των προμηθευτών στους οποίους πρέπει να τις θέσετε.

Η ίδια αρχή διαμορφώνει τον τρόπο με τον οποίο ενσωματώσαμε το AI στην πλατφόρμα. Ο Neo, ο AI Co-GP εντός του Covercy One, εκτελείται στο ίδιο ελεγχόμενο περιβάλλον που κατέχει ήδη τα δεδομένα — υπό τους ίδιους ελέγχους SOC 2, την ίδια κρυπτογράφηση, τα ίδια δικαιώματα. Ο Neo μπορεί να δει μόνο ό,τι μπορεί να δει ο χρήστης που τον καλεί. Η αλυσίδα των μερών δεν επιμηκύνεται όταν ενεργοποιείτε το AI. Αυτός είναι ο πήχης που πιστεύουμε ότι θα πρέπει να πληροί κάθε δυνατότητα AI στις λειτουργίες fund.

Αξίζει να υιοθετήσετε το AI στις λειτουργίες fund, και οι εταιρείες που το υιοθετούν προσεκτικά θα κινούνται πιο γρήγορα από εκείνες που είτε το αγνοούν είτε το χρησιμοποιούν απερίσκεπτα. Ο καθοριστικός παράγοντας είναι αν ο GP αντιμετωπίζει τα δεδομένα των επενδυτών ως την καταπιστευματική ευθύνη που είναι και θέτει στον προμηθευτή τις ερωτήσεις που απαιτεί αυτή η ευθύνη. Τα εργαλεία που αξίζουν τα δεδομένα των επενδυτών σας θα έχουν έτοιμες καλές απαντήσεις.

Δείτε πώς ο Neo διαχειρίζεται το AI εντός μιας πλατφόρμας που κατέχει ήδη τα αρχεία επενδυτών, τις τραπεζικές εργασίες και τα distributions σας υπό ένα ενιαίο σύνολο προστασιών →