Введение
В сфере корпоративного ИИ в США завершился этап экспериментов. Финансовые директора ожидают чёткого возврата инвестиций, советы директоров — доказательств контроля рисков, а регуляторы — мер контроля, соответствующих существующим обязательствам по управлению рисками.
Каждый руководитель в сфере ИИ сталкивается с вопросом: создавать ли необходимые возможности внутри компании, покупать у поставщика или сочетать оба подхода?
Контекст в США: регулирование и рыночные ориентиры
В то время как ЕС определяет предписывающие правила через Закон об ИИ, США остаются ориентированными на секторы и контроль за соблюдением законодательства. Для предприятий США реальными ориентирами являются:
* NIST AI Risk Management Framework (RMF): де-факто федеральное руководство, формирующее программы обеспечения соответствия требованиям и гарантии поставщиков по всем ведомствам.
* NIST AI 600-1 (Generative AI Profile): уточняет ожидания по тестированию на галлюцинации, мониторингу и доказательствам.
* Банковское дело/финансы: Федеральный резерв SR 11-7 (модельный риск), рекомендации FDIC/FFIEC, постоянное внимание OCC к моделям, встроенным в андеррайтинг/риск.
* Здравоохранение: HIPAA + надзор FDA за алгоритмами в клиническом контексте.
* FTC: полномочия по обеспечению соблюдения законодательства о защите прав потребителей: ожидается риск обвинений в «обманных практиках» в отношении прозрачности/раскрытия информации.
* SEC: ожидания по раскрытию информации: публичные компании должны раскрывать «существенные риски, связанные с ИИ», особенно предвзятость, кибербезопасность и использование данных.
Выбор между созданием, покупкой и сочетанием
На стратегическом уровне следует учитывать:
* Создавать, когда возможность лежит в основе конкурентного преимущества, включает конфиденциальные данные, регулируемые в США (PHI, PII, финансовые данные), или требует глубокой интеграции в собственные системы.
* Покупать, когда сценарий использования является стандартизированным, скорость получения ценности определяет успех или поставщики обеспечивают соответствие требованиям, которого нет у вас внутри компании.
* Сочетать для большинства корпоративных случаев использования в США: сочетайте проверенные платформы поставщиков (многоуровневая маршрутизация, уровни безопасности, артефакты соответствия) с индивидуальной работой «последней мили» над подсказками, извлечением, оркестровкой и оценками в предметной области.
Десятимерная модель оценки выбора между созданием и покупкой
Чтобы выйти за рамки споров, основанных на мнениях, используйте структурированную модель оценки. Каждый параметр оценивается по шкале от 1 до 5, взвешивается по стратегическим приоритетам.
| Параметр | Вес | Создание | Покупка |
| — | — | — | — |
| Стратегическая дифференциация | 15% | Возможность ИИ — ваше конкурентное преимущество | Стандартизированная продуктивность |
| Чувствительность и размещение данных | 10% | Данные PHI/PII/регулирующие | Поставщик может подтвердить соответствие HIPAA/SOC 2 |
| Регуляторное воздействие | 10% | Обязанности SR 11-7/HIPAA/FDA | Поставщики предоставляют соответствующие контроллеры |
| Время до получения ценности | 10% | 3–6 месяцев приемлемо | Должны быть реализованы за недели |
| Глубина настройки | 10% | Домен-ориентированный, специфичный для рабочего процесса | Настраиваемый достаточно |
| Сложность интеграции | 10% | Встроено в устаревшие системы, ERP, плоскость управления | Стандартные соединители адекватны |
| Талант и зрелость операций | 10% | Операции с LLMOps на месте с платформой/SRE | Хостинг поставщика предпочтителен |
| TCO за 3 года | 10% | Инфра амортизирована, повторное использование в командах | Экономика единицы поставщика выигрывает |
| Производительность и масштаб | 7,5% | Латентность в миллисекундах или управление всплесками требуется | Стандартные соглашения об уровне обслуживания приемлемы |
| Блокировка и мобильность | 7,5% | Необходимы открытые веса/стандарты | Удобно с оговоркой о выходе |
Правила принятия решений
* Создавать, если оценка создания превышает оценку покупки на ≥20%.
* Покупать, если оценка покупки превышает оценку создания на ≥20%.
* Сочетать, если результаты находятся в пределах ±20% диапазона.
Моделирование TCO на трёхлетний горизонт
Распространённой ошибкой в американских предприятиях является сравнение годовых затрат на подписку с затратами на создание за три года. Для принятия правильного решения требуется сравнение подобных показателей.
Когда создавать (контекст США)
* Стратегическая интеллектуальная собственность: андеррайтинговая логика, оценка рисков, обнаружение финансовых аномалий — модель ИИ является центральной для получения дохода.
* Контроль данных: вы не можете позволить, чтобы PHI, PII или коммерческие секреты попадали в непрозрачные конвейеры поставщиков.
* Индивидуальная интеграция: ИИ должен быть интегрирован в системы претензий, торговые платформы или рабочие процессы ERP, которые сторонние специалисты не смогут эффективно настроить.
Когда покупать (контекст США)
* Стандартные задачи: ведение заметок, вопросы и ответы, отклонение тикетов, базовые помощники по коду.
* Скорость: высшее руководство требует развёртывания в течение финансового квартала.
* Соответствие требованиям поставщиков: авторитетные поставщики в США всё чаще соответствуют NIST RMF, SOC 2 и HIPAA, а некоторые стремятся получить сертификацию ISO/IEC 42001.
Смешанная операционная модель (по умолчанию для предприятий США в 2025 году)
По всему миру среди компаний из списка Fortune 500 прагматичным равновесием является сочетание:
* Покупать платформенные возможности (управление, аудиторские следы, многоуровневая маршрутизация, RBAC, DLP, подтверждения соответствия).
* Создавать «последнюю милю»: извлечение, адаптеры инструментов, оценочные наборы данных, тесты на галлюцинации и отраслевые ограждения.
Это позволяет масштабировать без потери контроля над конфиденциальной интеллектуальной собственностью или отставания от надзора на уровне совета директоров.
Чек-лист должной осмотрительности для руководителей в сфере ИИ
При покупке у поставщиков:
* Гарантии: ISO/IEC 42001 + SOC 2 + соответствие NIST RMF.
* Управление данными: HIPAA BAA, условия хранения и минимизации данных, редактирование, региональное разделение.
* Выход: явные условия контракта о переносимости данных; согласованное снижение платы за выход из системы.
* SLA: цели по задержкам/пропускной способности, гарантии резидентности данных в США, показатели оценки предвзятости и безопасности.
При создании внутри компании:
* Управление: работа в соответствии с категориями NIST AI RMF — управлять, сопоставлять, измерять, управлять.
* Архитектура: многоуровневый слой оркестрации для предотвращения блокировки; надёжные конвейеры наблюдаемости (трассировка, учёт затрат, показатели галлюцинаций).
* Люди: специальная команда LLMOps; встроенные специалисты по оценке и безопасности.
* Контроль затрат: пакетная обработка запросов, оптимизация извлечения, явные стратегии минимизации затрат на выход.
Дерево решений для руководителей
* Способствует ли возможность получению конкурентного преимущества в течение 12–24 месяцев?
* Да → Вероятное создание.
* Нет → Рассмотреть возможность покупки.
* Есть ли у вас зрелость управления (в соответствии с NIST AI RMF) внутри компании?
* Да → Предпочтение созданию.
* Нет → Сочетание: купить защитные ограждения у поставщика, создать «последнюю милю».
* Удовлетворят ли регуляторов артефакты соответствия поставщика быстрее?
* Да → Предпочтение покупке/сочетанию.
* Нет → Создание для выполнения обязательств.
* Окупается ли трёхлетний TCO внутренней амортизацией по сравнению со стоимостью подписки?
* Внутренняя стоимость ниже → Создание.
* Стоимость поставщика ниже → Покупка.
Пример: американский страховой медицинский страховщик
Сценарий использования: автоматизированный обзор претензий и разъяснение льгот.
* Стратегическая дифференциация: умеренная — эффективность по сравнению с базовым уровнем конкурентов.
* Чувствительность данных: PHI, регулируется HIPAA.
* Регулирование: под контролем HHS + потенциальный надзор FDA за клиническую поддержку принятия решений.
* Интеграция: тесная связь с устаревшими системами обработки претензий.
* Время до получения ценности: терпимость 6 месяцев.
* Внутренняя команда: зрелый конвейер машинного обучения, но ограниченный опыт LLMOps.
Результат: сочетание. Использовать платформу поставщика США с HIPAA BAA и гарантией SOC 2 Type II для базовой LLM + управления. Создать индивидуальные уровни извлечения, адаптацию медицинских кодов CPT/ICD и наборы данных для оценки. Сопоставить надзор с NIST AI RMF и задокументировать доказательства для комитета по аудиту совета директоров.
Выводы для руководителей в сфере ИИ
* Используйте взвешенную, оценённую систему для оценки каждого случая использования ИИ — это создаст доказательства, готовые к аудиту, для советов директоров и регуляторов.
* Ожидайте, что смешанные поместья будут доминировать. Сохраняйте контроль «последней мили» (извлечение, подсказки, оценщики) в качестве корпоративного ИП.
* Согласуйте создание и покупку с NIST AI RMF, SOC 2, ISO/IEC 42001 и законами США, специфичными для сектора (HIPAA, SR 11-7).
* Всегда моделируйте трёхлетний TCO, включая облачный эгресс.
* Вставляйте пункты выхода/переносимости в контракты заранее.
Для предприятий США в 2025 году вопрос о создании или покупке не об идеологии. Это вопрос стратегического распределения, доказательств управления и дисциплины исполнения. Руководители в сфере ИИ, которые реализуют эту систему принятия решений, не только ускорят развёртывание, но и повысят устойчивость к регулированию и надзору со стороны совета директоров.
1. Какие факторы следует учитывать при выборе между созданием и покупкой решений на базе ИИ для предприятий США?
При выборе между созданием и покупкой решений на базе ИИ для предприятий США следует учитывать стратегическую дифференциацию, чувствительность и размещение данных, регуляторное воздействие, время до получения ценности, глубину настройки, сложность интеграции, талант и зрелость операций, TCO за 3 года, производительность и масштаб, блокировку и мобильность.
2. В каких случаях предприятиям США следует создавать решения на базе ИИ внутри компании?
Предприятиям США следует создавать решения на базе ИИ внутри компании, когда возможность лежит в основе конкурентного преимущества, включает конфиденциальные данные, регулируемые в США (PHI, PII, финансовые данные), или требует глубокой интеграции в собственные системы.
3. Какие преимущества предлагает смешанная операционная модель для предприятий США в 2025 году?
Смешанная операционная модель предлагает предприятиям США в 2025 году возможность масштабировать бизнес без потери контроля над конфиденциальной интеллектуальной собственностью или отставания от надзора на уровне совета директоров. Она позволяет сочетать платформенные возможности, приобретаемые у поставщиков, с созданием «последней мили» — индивидуальных решений для специфических задач.
4. Какие гарантии и условия следует учитывать при покупке решений на базе ИИ у поставщиков?
При покупке решений на базе ИИ у поставщиков следует учитывать гарантии ISO/IEC 42001 + SOC 2 + соответствие NIST RMF, управление данными (HIPAA BAA, условия хранения и минимизации данных, редактирование, региональное разделение), выход (явные условия контракта о переносимости данных; согласованное снижение платы за выход из системы), SLA (цели по задержкам/пропускной способности, гарантии резидентности данных в США, показатели оценки предвзятости и безопасности).
5. Какие выводы можно сделать для руководителей в сфере ИИ на основе представленной информации?
На основе представленной информации можно сделать вывод, что руководителям в сфере ИИ следует использовать взвешенную, оценённую систему для оценки каждого случая использования ИИ, ожидать, что смешанные поместья будут доминировать, согласовывать создание и покупку с NIST AI RMF, SOC 2, ISO/IEC 42001 и законами США, специфичными для сектора (HIPAA, SR 11-7), всегда моделировать трёхлетний TCO, включая облачный эгресс, и вставлять пункты выхода/переносимости в контракты заранее.