運用AI風險治理架構 提升企業競爭力

人工智慧(AI)可應用在各種領域，成為每一種新興科技的創新應用來源與計算技術之基礎建設，可說是未來十年內最具破壞性的技術，也是最有價值的投資之一。不過，根據PwC《2019全球企業AI診斷調查報告》，只有20%的受訪企業對於AI相關的應用與策略具備明確的風險管理程序，藉以識別與AI相關的風險情境。相對地，逾60%企業則使用由開發商、供應商提供的非標準、非正式流程或非書面記載的風險管理程序。

資誠智能風險管理諮詢公司執行董事張晉瑞表示，根據麻省理工史隆管理學院在2019年發布的企業AI成熟度調查，高達80%企業對AI的各項技術研發仍處於探索與試驗階段，這表示基於風險的企業管理必須針對新興的AI數位科技風險有更詳盡、更完整的風險分析與風險評鑑方法，以及更標準的AI風險治理架構。

張晉瑞指出，全球企業對AI如何衝擊就業、不平等、隱私、網路安全、道德、社會責任和環境發展的疑慮與時俱增。監理及主管機關、企業、投資者、消費者和其他利害關係人都在追問同樣的問題：企業如何運用AI提升競爭力？如何發展AI？如何管理AI？能否相信AI？ 

五大AI風險管理面向

有鑒於此，PwC針對新興的AI數位科技風險，提出詳盡、完整的風險分析、風險評鑑方法以及標準的AI風險治理架構。針對全球140個國家，研究各種AI相關產業做出分析，提出五大AI風險管理面向，包括績效風險管理、安全風險管理、控制風險管理、道德風險管理以及社會風險管理。

一、績效風險(Performance Risk)

針對AI效能風險提出以下四大風險情境分析

• 誤差風險(Risk of errors)：透過AI系統的設計降低不必要的誤差，並盡力達成客觀的決策。
• 偏差風險(Risk of bias)：學習樣本偏失或不足，需透過AI系統的設計降低不必要的偏差，並盡力達成公平的決策。
• 模糊風險(Risk of opaqueness)：演算法設計過程中的技術缺陷，無法解釋AI驅動的決策的流程；操作AI者或受AI影響的人無從得知結果產生的原因。
• 效能不穩風險(Risk of performance instability)：演算效能不足導致無法完成運作過程需求，無法達成運作最終目標。

二、安全風險(Security Risk)

針對AI安全風險提出以下四大風險情境分析

• 對抗攻擊風險(Adversarial attacks)：利用對抗事例(adversarial example) 造成AI學習模型判斷錯誤。
• 網路入侵風險(Cyber intrusion risks)：演算法或資料數據遭內外部攻擊者惡意入侵及破壞。
• 隱私風險(Privacy risks)：AI學習資料不當取得、數據分析處理結果洩露、演算結果洩露，演算結果濫用，導致侵犯當事人隱私權。
• 開放原始碼軟體風險(Open source software risks)：企業應有第三方軟體授權與管理機制，並需要符合各種國際標準規範。

三、控制風險(Control Risk)

針對AI控制風險提出以下三大風險情境分析

• 人員風險(Lack of human agency in AI supported processes)：設計者人為錯誤
• 能力風險(Inability to detect)：無法針對演算法的限制，偵測出所產生的過度依賴與誤用情境流程瑕疵。
• 惡意使用風險(Control rogue AI)：無法針對演算法的設計流程實施監督，產生與原需求不相關的瑕疵、誤用情境流程瑕疵、惡意使用瑕疵。

四、道德風險(Ethical Risk)

針對AI道德風險提出以下二大風險情境分析

• 價值判斷風險(Lack of values risk)：設計者人為錯誤或道德偏失，企業在發展、實行和運用AI的過程中，無法負起道德責任、符合道德標準。
• 價值衡量風險(Value alignment risk)：決策者對分析結果的錯誤解讀或誤用，或者設計者人為錯誤或道德偏失，企業在發展、實行和運用AI的過程中，無法合乎現有法規的遵循。

五、社會風險(Societal Risk)

針對AI社會風險提出以下三大風險情境分析

• 企業聲譽風險(Reputational risk)：企業針對AI技術的使用上，可能傷害人類生命與企業聲譽的風險容忍度。
• 自主武器擴散風險(Autonomous weapons proliferation)：企業在使用AI發展創新科技的同時，可能因為AI技術的轉移或誤用，導致違反國際禁止自主武器擴散條約。
• 智能分割風險(Risk of intelligence divide)：企業無法提供一套分割方法及機制，讓AI驅動的細節是透明且可解釋的；無論操作AI者或受AI影響的人，都無法輕易說明各個技術模組的智能運算細節。

完善AI風險治理架構  推動數位轉型

張晉瑞表示，企業可參考這套AI風險治理架構，包含五大風險管理面向、十六個風險情境分析，並依企業特有的業務需求和AI成熟度量身打造，協助組織內AI解決方案的評估及開發。

張晉瑞建議，企業的AI策略基礎，有賴於完善的AI風險分析與管理，除了上述風險管理的考量，還需透過完善設計的組織架構、人力資源規劃、可靠的AI演算法、可靠的資料收集方法、可靠的數據分析方法，才能夠收集或產生適當資料與數據來訓練演算法，藉此推動數位轉型與企業再造，讓AI成為真正能帶動營收與獲利成長的科技，並且和其他現有或新興科技整合，為企業創造出更多價值，邁向永續發展的道路前進。