—·
Proyek infrastruktur fisik kini kian bergantung pada keputusan AI. Hal ini mengubah standar "bukti": auditor harus menuntut pengemasan bukti yang tertelusur, bukan sekadar daftar periksa (checklist).
Pada jembatan atau instalasi pengolahan air, kegagalan jarang terjadi dalam satu peristiwa dramatis tunggal. Kegagalan biasanya muncul sebagai rangkaian keputusan kecil yang berakibat fatal: sensor mana yang dipercaya, jadwal pemeliharaan apa yang ditetapkan, firmware apa yang dipasang, dan mode operasional apa yang diizinkan. Tantangan pengawasan menjadi semakin tajam ketika keputusan tersebut dibentuk oleh AI dan dieksekusi melalui infrastruktur fisik. Dalam konteks ini, risiko sebenarnya bukan terletak pada "model" itu sendiri, melainkan pada ketersediaan jejak bukti yang mampu bertahan dari pengawasan setelah kejadian.
Itulah sebabnya tata kelola infrastruktur kini mengadopsi pola tata kelola AI yang berkembang: penekanan pada bukti yang dapat direkonstruksi dan dipertanggungjawabkan. GAO AS, dalam konteks tata kelola AI federal, telah menekankan pengawasan sistematis dan dokumentasi tertelusur mengenai bagaimana sistem dikelola dan dievaluasi. (Source) Bagi sektor infrastruktur, kerangka kerja GAO ini krusial karena menyoroti kesenjangan antara apa yang didokumentasikan secara internal oleh organisasi dan apa yang dapat disusun kembali oleh auditor nantinya. Ketika kesenjangan tersebut melebar, infrastruktur bukan lagi sekadar baja dan beton, melainkan sebuah sistem akuntabilitas.
Panduan keamanan siber dan ketahanan infrastruktur mengarah pada poin yang sama. Infrastructure Resilience Planning Framework (IRPF) dari CISA secara eksplisit menyatakan bahwa perencanaan ketahanan harus bersifat operasional, menghubungkan peran, ketergantungan, dan tindakan kontinuitas dengan proses nyata—bukan sekadar aspirasi. (Source) Auditor dapat menggunakan pola pikir operasional ini sebagai cetak biru untuk evidence packaging (pengemasan bukti): bukti harus memetakan bagaimana keputusan dibuat dan siapa yang dapat mendemonstrasikannya.
Pertanyaan inti bagi auditor sangat sederhana: apa yang dianggap sebagai bukti sah ketika infrastruktur bergantung pada perangkat berbasis AI dan keputusan otomatis? Pengemasan bukti adalah jawaban yang muncul—dan di sanalah "kotak hitam" (black box) biasanya terkonsentrasi. Risikonya bukan sekadar kehilangan log, melainkan hilangnya keterlacakan (traceability) antara pelatihan, penerapan, kontrol perubahan, dan perilaku saat operasional (runtime).
Sebagai aturan praktis, perlakukan penerapan infrastruktur berbasis AI layaknya rantai pasok kritis untuk akuntabilitas. Jika Anda tidak dapat melacak keputusan dari input hingga konfigurasi yang diterapkan, anggaplah paket bukti tersebut tidak lengkap, meskipun sistem terlihat patuh di atas kertas.
Pengemasan bukti adalah praktik pengumpulan artefak yang secara kolektif membuktikan apa yang terjadi, mengapa hal itu terjadi, dan kontrol apa yang diterapkan sebelum serta selama operasi. Dalam perangkat AI/ML di sektor kesehatan digital dan domain kritis lainnya, ini berarti lebih dari sekadar daftar risiko statis. Hal ini memerlukan artefak pemantauan, hasil pengujian, logika kontrol perubahan, dan dokumentasi tertelusur yang dapat disusun menjadi narasi audit yang koheren.
AI Risk Management Framework (AI RMF) dari NIST dirancang untuk mendukung pemikiran risiko terstruktur di seluruh siklus hidup AI. Kerangka ini menyediakan pendekatan berbasis siklus hidup untuk memetakan dan mengelola risiko AI. (Source)
Meskipun AI RMF dari NIST bukan manual audit, logika kontrolnya mendorong tim menuju bukti yang dapat diperiksa: memahami konteks sistem, memetakan risiko, mengukur dampak, mengelola respons, dan memantau hasil. Bagi auditor, siklus hidup ini berguna karena menentukan di mana bukti seharusnya berada. Jika bukti hilang pada tahap apa pun—konteks, pengukuran, manajemen, atau pemantauan—narasi audit tersebut memiliki celah.
Mode kegagalan yang umum di sektor infrastruktur adalah: rencana ketahanan dan kerangka kerja keamanan siber berubah menjadi "artefak kertas" kecuali jika mereka terhubung dengan bukti operasional. IRPF dari CISA menuntut perencanaan ketahanan yang memperhitungkan ketergantungan dan tindakan kontinuitas. Untuk AI, hal ini penting karena bukti harus menunjukkan ketergantungan tersebut—data hulu apa yang memberi makan model, kontrol hilir apa yang bergantung pada outputnya, dan prosedur operasional apa yang diaktifkan.
Pekerjaan pengawasan federal GAO menambah dimensi lain. Organisasi mungkin memiliki proses tata kelola internal yang tidak diterjemahkan ke dalam dokumentasi eksternal yang konsisten. Laporan GAO tentang tata kelola AI mengidentifikasi celah pengawasan dan menyoroti pentingnya mekanisme keterlacakan dan akuntabilitas di seluruh aktivitas federal. Dalam penerapan infrastruktur yang mengintegrasikan AI, ketidaksesuaian yang sama muncul ketika tim dapat menjelaskan sistem tetapi tidak dapat menghasilkan paket bukti yang dapat diverifikasi.
Dalam praktiknya, pengemasan bukti yang "baik" tampak seperti rantai yang dapat diaudit: deskripsi model dan sistem yang terdokumentasi, asal-usul pelatihan dan penerapan yang tertelusur, bukti pemantauan yang terinstrumentasi, serta catatan kontrol perubahan eksplisit yang menghubungkan pembaruan dengan perilaku runtime. Jika pemantauan ada tetapi tidak dapat dilacak ke konfigurasi yang diterapkan, paket bukti tersebut gagal mencapai tujuannya.
Log audit sering diperlakukan sebagai formalitas kepatuhan. Pengemasan bukti memperbaiki standar: log harus terhubung dengan keputusan dan konfigurasi. Untuk sistem infrastruktur berbasis AI, auditor harus menghubungkan setidaknya empat elemen: (1) sinyal input dan konteks sistem, (2) output keputusan AI, (3) model yang diterapkan dan konfigurasi perangkat lunak pada saat itu, dan (4) riwayat kontrol perubahan yang sesuai. Ketika hubungan ini terputus, log audit hanyalah "stempel waktu tanpa makna."
Roadmap Kerangka Kerja Keamanan Siber (CSF) NIST menawarkan analogi yang berguna. Meski tidak spesifik untuk AI, kerangka ini menekankan perbaikan berkelanjutan dan pengukuran dalam tata kelola keamanan siber. Logika roadmap-nya selaras dengan pengemasan bukti dengan menunjukkan penerjemahan panduan kerangka kerja ke dalam proses dan hasil yang dapat diimplementasikan. Auditor dapat menerapkan ketelitian ini pada bukti AI dengan menanyakan apakah kontrol mengukur apa yang penting, bukan sekadar mencatat aktivitas.
Untuk perangkat berbasis AI/ML yang krusial, hubungan ini sangat penting karena output perangkat dapat memengaruhi tindakan klinis atau operasional. Sudut pandang infrastrukturnya praktis: jika output AI mendorong mode operasional di rumah sakit, klinik, atau sistem kesehatan masyarakat yang berinteraksi dengan infrastruktur, jejak audit harus tetap menjelaskan rantai keputusan. Tuntutan pembuktian yang sama berlaku di luar kesehatan, ketika AI memengaruhi operasi infrastruktur fisik melalui perutean otomatis, pemicu pemeliharaan, respons anomali, atau prioritas aset.
Masalah "kotak hitam" cenderung muncul dalam pola kegagalan yang dapat diprediksi. Keterlacakan asal-usul (provenance) yang hilang muncul ketika auditor tidak dapat mengonfirmasi data pelatihan atau versi model mana yang diterapkan. Keterlacakan yang rusak muncul ketika log ada tetapi tidak memetakan peristiwa runtime ke catatan kontrol perubahan. Perilaku alat atau agen yang tidak dapat diaudit muncul ketika sistem AI menggunakan alat—mengambil data, membuat perintah kerja, atau menjalankan langkah operasional—tanpa menghasilkan bukti yang menjelaskan panggilan alat apa yang terjadi dan mengapa.
AI RMF dari NIST membantu menentukan di mana elemen bukti ini cocok karena membingkai pengelolaan risiko sebagai praktik siklus hidup yang berkelanjutan, bukan penilaian satu kali. Dengan siklus hidup tersebut, auditor dapat menambatkan pertanyaan pada fase nyata: bukti apa yang ada sebelum penerapan, apa yang dicatat selama operasi, dan bagaimana risiko dipantau serta dikelola dari waktu ke waktu.
Langkah investigasi berikutnya adalah latihan rekonstruksi keputusan untuk sampel insiden. Bisakah Anda merekonstruksi keputusan dari input ke output, dan bisakah Anda memetakan output ke konfigurasi yang tepat dan peristiwa kontrol perubahan? Jika jawabannya tidak, log audit bukanlah bukti—itu hanyalah kebisingan.
Infrastructure Resilience Planning Framework v1.2 dari CISA dirancang untuk membantu organisasi merencanakan ketahanan di seluruh infrastruktur kritis. Strukturnya menekankan identifikasi aset, ketergantungan, dan perencanaan untuk kontinuitas serta respons. Ketika perangkat berbasis AI memengaruhi operasi infrastruktur kritis, keterlacakan menjadi bagian dari ketahanan itu sendiri. Sistem yang tidak dapat direkonstruksi setelah gangguan tidak dapat ditingkatkan secara andal setelah gangguan tersebut.
Pengemasan bukti juga bersinggungan dengan bagaimana program infrastruktur memberikan hasil. Upaya infrastruktur fisik bergantung pada tata kelola di seluruh konstruksi, integrasi sistem, komisioning, dan operasi jangka panjang. Ketika AI diintegrasikan ke dalam proses tersebut—misalnya, pemeliharaan prediktif atau triase inspeksi otomatis—standar pengemasan bukti harus diperluas untuk mencakup artefak AI sebagai bagian dari hasil infrastruktur. Auditor harus bertanya apakah persyaratan kontrak menentukan hasil bukti AI sebagaimana mereka menentukan hasil pengujian fisik.
Panduan implementasi federal mengilustrasikan bagaimana mekanisme penyampaian program mendorong ekspektasi akuntabilitas. Panduan Departemen Transportasi AS tentang Infrastructure Investment and Jobs Act dan Inflation Reduction Act untuk jalan raya federal menjelaskan bagaimana program jalan raya dilaksanakan di bawah undang-undang ini. Bagi auditor, implikasinya langsung: di mana dana publik menciptakan akuntabilitas proyek, komponen keputusan berbasis AI yang diperkenalkan ke dalam proyek harus menyertakan persyaratan bukti yang dapat diverifikasi.
Mekanisme keuangan penting karena membentuk insentif. Program publik dapat mendanai pemantauan dan evaluasi, atau mereka dapat mendorong tim untuk mengurangi waktu dan dokumentasi demi mencapai tonggak pencapaian. Pengemasan bukti adalah hal yang mencegah tekanan tersebut berubah menjadi perilaku operasional yang tidak terdokumentasi. Laporan GAO tentang tata kelola AI federal memperkuat poin tata kelola yang lebih luas: ketika pengawasan tidak memiliki mekanisme yang dapat ditindaklanjuti, sistem dapat dikelola tanpa keterlacakan yang memadai.
"Langkah auditor" yang praktis adalah mengikuti aliran dana ke hasil—lalu menguji apakah hasil tersebut bertahan dalam latihan gangguan. Pilih satu alur kerja keputusan berbasis AI yang diklaim proyek telah "dikomisioning" (misalnya, model pemicu pemeliharaan atau set aturan triase inspeksi). Kemudian minta: (1) paket bukti dasar yang dibuat selama pengujian penerimaan, (2) catatan kontrol perubahan spesifik yang terkait dengan peluncuran produksi pertama, dan (3) artefak pemantauan runtime yang menunjukkan bagaimana ketergantungan berperilaku dalam kondisi kesalahan atau abnormal. Jika organisasi tidak dapat menunjukkan bahwa grafik ketergantungan rencana ketahanannya sesuai dengan umpan data dan pemicu otomatisasi yang digunakan selama latihan insiden, persyaratan keterlacakan telah gagal—meskipun rencananya ada di atas kertas.
Meskipun pengemasan bukti adalah tuntutan tata kelola yang baru muncul, pelaporan publik menunjukkan lingkungan investasi dan risiko yang membuat keterlacakan tidak terelakkan. Tiga jangkar kuantitatif membantu auditor menentukan cakupan.
Pertama, GAO melaporkan garis waktu spesifik dan sinyal perencanaan untuk aktivitas tata kelola AI federal dalam pekerjaannya yang tercakup dalam GAO-25-107166. Meskipun berfokus pada tata kelola AI, laporan ini memberikan informasi konkret tentang kebutuhan pengawasan dan pendekatan pemerintah untuk mengelola risiko AI dalam konteks federal. Auditor dapat memperlakukan mekanisme tata kelola yang dilaporkan tersebut sebagai tanda bahwa ekspektasi pengawasan semakin ketat—terutama arah menuju keterlacakan, kualitas dokumentasi, dan mekanisme yang dapat diuji setelah fakta.
Kedua, penelitian IMF menghubungkan perencanaan ketahanan makroekonomi dengan risiko fisik yang berulang seperti bencana alam dan perubahan suhu yang persisten, menekankan bahwa ketahanan bukanlah hal abstrak dan harus memperhitungkan tekanan lingkungan yang persisten. Makalah IMF "Building Macroeconomic Resilience to Natural Disasters and Persistent Temperature Changes" (25 Juli 2025) membahas persistensi perubahan suhu sebagai bagian dari masalah ketahanan. Hal ini penting karena risiko yang persisten memperbaiki probabilitas bahwa sistem infrastruktur akan beroperasi dalam kondisi yang berubah, sehingga memperbaiki taruhan untuk pengemasan bukti dan asal-usul pelatihan ulang.
Ketiga, materi topik IMF tentang pembangunan ketahanan merangkum pembingkaian ketahanan dan perlunya tindakan kebijakan. Meskipun bukan kumpulan data tunggal, ini mendasari mengapa operator infrastruktur semakin memperlakukan ketahanan sebagai persyaratan kebijakan, bukan latihan teknik satu kali. Paket bukti berfungsi seperti asuransi operasional: mereka memungkinkan tim membuktikan apa yang beroperasi di bawah asumsi apa—kritis ketika kondisi berubah.
Angka-angka ini belum memberikan statistik langsung tentang berapa banyak penerapan AI infrastruktur yang memenuhi standar pengemasan bukti. Kesenjangan data itu sendiri bermakna. Auditor harus memperlakukan tidak adanya metrik bukti publik yang sebanding sebagai mode kegagalan: organisasi mungkin menerapkan sistem tanpa dapat membandingkan kematangan bukti mereka secara publik.
Karena metrik "kesiapan bukti" publik yang standar kurang, auditor harus menggunakan metode dasar yang menghasilkan skor terukurnya sendiri. Daripada hanya bertanya apakah organisasi memiliki "paket", evaluasilah apakah paket tersebut berisi tautan yang dapat direkonstruksi dan apakah tautan tersebut bertahan dalam pengujian minimal. Pendekatan penilaian praktis untuk keputusan yang disampel (misalnya, satu insiden peristiwa anomali atau satu peristiwa pemicu pemeliharaan) adalah:
Total: 0–8 per keputusan yang disampel. Selama sampel kecil, ini menciptakan metrik internal yang terikat langsung pada apa yang dibutuhkan auditor—rekonstruksi keputusan—mengubah "kesenjangan data" menjadi output yang dapat diaudit. Statistik publik mungkin hilang, tetapi akuntabilitas masih dapat diukur dalam tinjauan menggunakan kriteria berbasis bukti yang dapat diuji.
Studi kasus menunjukkan apakah pengemasan bukti bertahan di bawah tekanan atau runtuh menjadi narasi yang tidak dapat diverifikasi. Sumber yang divalidasi yang diberikan di sini tidak mencakup catatan litigasi tingkat insiden yang spesifik untuk pengemasan bukti dalam perangkat infrastruktur berbasis AI. Sebaliknya, mereka menyediakan jalur tata kelola dan dokumen program yang dapat digunakan auditor sebagai titik referensi untuk apa yang "seharusnya ada" dibandingkan dengan apa yang sering terjadi.
Kasus 1: CISA merilis Infrastructure Resilience Planning Framework v1.2 (Januari 2024). Hasilnya adalah model perencanaan ketahanan yang diterbitkan untuk membantu pemilik dan operator infrastruktur kritis merencanakan ketahanan di seluruh aset, ketergantungan, dan kontinuitas. Garis waktu eksplisit dalam publikasi itu sendiri, dan dokumen tersebut menyediakan struktur otoritatif yang diharapkan digunakan oleh organisasi. Auditor dapat menggunakan ini untuk membandingkan apakah komponen infrastruktur berbasis AI menyertakan bukti keputusan tertelusur yang selaras dengan ketergantungan perencanaan ketahanan.
Kasus 2: Cybersecurity and Infrastructure Security Agency (CISA) DHS merilis roadmap tentang AI (postingan berita diarsipkan tertanggal 14 November 2023). Hasilnya adalah publikasi roadmap AI yang bertujuan memandu upaya terkait AI DHS dan pertimbangan untuk konteks keamanan siber dan infrastruktur. Garis waktu ada di halaman arsip DHS. Auditor dapat menggunakan ini sebagai dasar apakah penggunaan alat AI dan otomatisasi operasional dalam lingkungan infrastruktur menyertakan bukti keterlacakan dan akuntabilitas yang tersirat dalam roadmap tersebut.
Kasus-kasus ini adalah artefak tata kelola, bukan bukti ruang sidang. Namun, begitulah ekosistem akuntabilitas terbentuk. Auditor sering meremehkan seberapa besar dokumentasi tata kelola membentuk bukti operasional. Jika kerangka kerja dan roadmap yang diterbitkan tidak diterjemahkan ke dalam paket bukti yang siap diperiksa, Anda sedang melihat mode kegagalan yang dapat dikendalikan.
Gunakan kasus tata kelola ini sebagai daftar artefak yang diharapkan—tetapi uji penerjemahannya, bukan kehadirannya. Buat "lembar kerja pemetaan artefak" yang memaksa penyelarasan antara dokumen tata kelola dan bukti operasional entitas. Untuk setiap kategori artefak yang diharapkan dalam logika ketergantungan/kontinuitas yang diturunkan dari CISA IRPF (aset, ketergantungan, tindakan kontinuitas, peran), minta artefak bukti AI yang sesuai:
Kemudian jalankan satu rekonstruksi untuk satu peristiwa selama latihan gangguan atau jendela insiden nyata. Jika pemetaan tata kelola tidak dapat diselesaikan dengan artefak tertelusur yang dirujuk oleh pengambilan keputusan runtime, Anda telah menemukan "kesenjangan penerjemahan" antara kebijakan dan bukti.
Pengemasan bukti tidak menggantikan tata kelola. Pengemasan bukti mengoperasionalkannya. Dalam pengiriman infrastruktur, operasionalisasi berarti mengintegrasikan persyaratan bukti ke dalam gerbang proyek, kriteria penerimaan, komisioning, dan operasi berkelanjutan. AI RMF dari NIST memberikan pendekatan terstruktur untuk memetakan, mengukur, dan mengelola risiko AI di seluruh siklus hidup AI. Auditor dapat menerjemahkannya ke dalam persyaratan proyek infrastruktur: di mana bukti muncul, siapa yang menandatanganinya, dan bagaimana bukti itu disimpan.
Pertimbangkan sistem pemantauan infrastruktur yang semakin menggunakan AI untuk deteksi anomali di jaringan energi, jaringan pita lebar, atau sistem air. Bahkan ketika AI bukan "perangkat klinis", logika pembuktiannya sama: jika AI mengidentifikasi anomali dan memicu respons, Anda perlu membuktikan rantai kausalitasnya. Pengemasan bukti menjadi bagian dari rekonstruksi insiden. Tanpanya, upaya ketahanan terdegradasi menjadi penceritaan retrospektif alih-alih perbaikan yang terukur.
Roadmap CSF NIST memperkuat bahwa tata kelola keamanan siber harus diterjemahkan menjadi pengukuran dan perbaikan berkelanjutan. Diterapkan pada infrastruktur berbasis AI, ini menjadi tuntutan auditor untuk kesegaran bukti: bukan hanya log yang ada, tetapi bukti yang sesuai dengan konfigurasi yang diterapkan saat ini dan mode operasional.
Pengadaan juga penting. Program infrastruktur federal yang dijelaskan oleh Departemen Transportasi AS menunjukkan bagaimana panduan implementasi membentuk akuntabilitas untuk investasi besar. Di mana infrastruktur mencakup komponen AI, auditor harus mengharapkan bahasa kontrak untuk mewajibkan hasil bukti. Jika kontrak menentukan pengujian fisik tetapi bukan pengemasan bukti AI, organisasi dapat mengirimkan sistem yang berfungsi dalam produksi sementara gagal dalam rekonstruksi audit nantinya.
Laporan GAO tentang tata kelola AI federal menambahkan sinyal terakhir: mekanisme pengawasan dan kebutuhan akuntabilitas terus maju. Bagi auditor infrastruktur, itu berarti pengemasan bukti adalah kebutuhan jangka pendek, bukan peningkatan di masa depan.
Dalam siklus audit berikutnya, prioritaskan paket bukti yang mendukung rekonstruksi keputusan untuk tindakan berbasis AI, bukan hanya dokumentasi sistem AI. Jika bukti tidak dapat membuktikan konfigurasi yang diterapkan dan rantai keputusan, perlakukan sistem sebagai sistem yang tidak dapat diaudit.
Pengemasan bukti gagal dalam cara yang dapat diprediksi. Mode kegagalan ini muncul ketika organisasi mengadopsi AI dengan cepat sambil mempertahankan peralatan operasional lama, atau ketika komponen AI diintegrasikan sebagai "kotak hitam" dengan instrumentasi tata kelola minimal.
Mode kegagalan ini memetakan dengan bersih ke pemikiran risiko siklus hidup NIST dalam AI RMF. Penekanan kerangka kerja pada pemetaan, pengukuran, dan pengelolaan risiko menyiratkan bahwa bukti harus ada secara berkelanjutan, bukan hanya pada awal proyek AI. Perencanaan ketahanan CISA juga menekankan ketergantungan dan tindakan kontinuitas, menyiratkan bahwa auditor harus mengharapkan bukti AI terhubung ke ketergantungan operasional yang diidentifikasi oleh rencana ketahanan.
Sudut pandang "seperti kesehatan digital" tidak mengubah logika bukti. Jika organisasi tidak dapat menjelaskan rantai keputusan, output perangkat menjadi pemicu yang tidak dapat dipertanggungjawabkan untuk efek dunia fisik. Bahkan jika organisasi mengklaim AI tersebut "bersifat membantu", standar bukti bergantung pada apakah output digunakan untuk mendorong tindakan—bukan pada bagaimana output tersebut diberi label.
Secara operasional, tingkatkan eskalasi secara otomatis ketika kesenjangan ini muncul. Jika bukti asal-usul, keterlacakan, atau perilaku alat hilang, alihkan penyelidikan dari pertanyaan kinerja sistem ke pertanyaan tata kelola dan akuntabilitas.
Gelombang pengawasan infrastruktur berikutnya akan berfokus pada bukti, bukan janji. Pekerjaan tata kelola AI federal GAO memberi sinyal bahwa ekspektasi pengawasan menjadi lebih terstruktur dan akuntabel. Kerangka kerja perencanaan ketahanan CISA menunjukkan bahwa perencanaan operasional dan ketergantungan adalah pusat dari ketahanan, yang menciptakan permintaan alami untuk bukti tertelusur. AI RMF NIST menyediakan perancah siklus hidup untuk bukti apa yang seharusnya ada.
Rekomendasi kebijakan: Pelaksana program transportasi dan pejabat pengadaan infrastruktur harus mewajibkan "pengemasan bukti" sebagai hasil untuk komponen keputusan berbasis AI. Secara khusus, mereka harus mewajibkan, dalam spesifikasi kontrak dan kriteria penerimaan, empat kelas bukti: (a) artefak keterlacakan & asal-usul yang menghubungkan pelatihan dengan konfigurasi yang diterapkan; (b) log audit yang mendukung rekonstruksi keputusan; (c) catatan kontrol perubahan yang memetakan ke pengidentifikasi log runtime; dan (d) bukti panggilan alat atau agen ketika sistem AI mendelegasikan tugas. Lingkungan implementasi federal Departemen Transportasi AS menyediakan saluran yang kredibel untuk menanamkan ini ke dalam ekspektasi pengiriman program.
Prakiraan dengan garis waktu: dalam waktu 12 hingga 18 bulan sejak publikasi sinyal panduan ini, auditor harus mengharapkan lebih banyak audit infrastruktur mulai meminta paket bukti sebagai bagian dari tinjauan dokumentasi rutin, terutama untuk proyek yang mencakup pemantauan berbasis AI atau alur kerja keputusan otomatis. Prakiraan itu didasarkan pada perluasan berkelanjutan dari perencanaan ketahanan dan ekspektasi manajemen risiko AI terstruktur dalam materi panduan yang tersedia untuk umum.
Langkah selanjutnya yang paling jelas adalah membangun bukti audit dengan cara Anda membangun infrastruktur: sebelum ada sesuatu yang "aktif", dimungkinkan untuk melacak input, konfigurasi yang diterapkan, dan keputusan yang mengikutinya.