企業實踐「負責任的AI」行動指南

2022年底Chat GPT問世，3年以來，生成式AI在商業的應用持續擴展。根據《2025全球暨臺灣企業領袖調查報告》，83%全球與58%臺灣企業已導入生成式AI，且高達49%全球與60%臺灣企業領袖預期可運用生成式AI提升獲利能力。然而，企業擁抱AI的同時，面臨的風險也持續升溫。

根據全球經濟論壇（World Economic Forum，WEF）全球風險報告，「AI技術的不良後果」自2024年起，連續兩年被選為未來10年全球十大風險。企業在AI導入與風險治理間面臨挑戰——既要讓組織得以進步又要充分管理風險——凸顯「負責任的AI」之重要性。

有原則與負責任的方法，是鞏固利害關係人信心的基石。為協助企業有效管理AI的複雜性，PwC發布《實現負責任的AI：給風險管理高層的洞見》，從「負責任的AI」出發，探索資料治理、模型測試、第三方風險、產業標準、法規監管以及審計等重要領域的關鍵行動。

資料治理為拓展AI基石

AI正根本性的改變企業對資料的定位，資料不再只是需要管理或利用的資產，它已是每一項AI計畫的基石。因此，企業應將資料治理提升至董事會層級的優先事項，投資於現代化的架構與工具，為AI做好準備。

在導入AI的同時，企業還須了解，AI對龐大資料集的需求，可能會增加隱私侵犯的風險。組織應制定全面的政策，處理資料最小化、同意權、使用者自主權等議題，並向重要利害關係人證明AI驅動之決策的可解釋性。

AI興起 模型測試合規性更顯重要

生成式AI和代理式AI的興起，讓許多組織開始反思該如何建立與新系統間的信任。部分組織過去並未針對機器學習和統計模型進行嚴格且合乎法規的測試，而今，這些組織開始意識到模型測試與監控的重要性；即便是測試經驗豐富的組織，也因生成式AI及代理式AI的興起而面臨挑戰。

企業應就AI模型的生命週期達成共識，建立測試文化，並使測試指引與組織治理框架相連結。除了根據組織對AI風險的態度訂定測試與監控協議，也可與法務部門合作，將法規要求的特定測式納入實務當中。

善用代理式AI強化資訊安全

在AI時代，資安團隊需運用自動化來強化風險管理，簡化複雜的任務，並引入新的功能提升組織效率。為了能跟上AI發展腳步，資安團隊應與產品開發團隊更緊密的整合，將資安內嵌到AI開發生命週期中。

技能提升、自動化以及風險模型的更新，都是重要機會。企業應跳脫過去「仰賴專業人才親自解決每個問題」的思維，轉而運用專業人才創建AI代理人，透過AI代理界定風險，並根據控管要求及變革目標來簡化批准流程。

AI第三方風險不容忽視

主動管理第三方生態系統中的AI相關風險，能簡化企業風險評估流程、縮短簽約時間，在不影響治理的情況下更快導入供應商。重新審視供應商合約，鼓勵負責任的使用AI，並嚴格審查第三方的資料使用政策，敦促供應商提高透明度。為能支持上述工作，企業可考慮將AI相關附註加入SOC 2報告、獨立性證明或其他治理工具中。

打造自身發展路徑 不盲求產業標準

AI快速發展之下，將產業標準視作「形式上的目標清單」已沒有意義。但在形塑企業戰略、協助企業為未來的技術發展及法遵預備方面，產業標準仍舊扮演關鍵角色。

建議將產業標準視為企業 AI 發展路徑的指南，釐清AI如何協助企業達成業務目標，並量身打造一套實務治理方法，以切合策略方向。此外，與標準協會及產業互動，亦有助於企業影響標準的演進與制定方向，確保產業標準符合未來實際應用的場景，幫助企業豎立領導地位。

有原則的執行監管準備 建立信任

對AI監管準備採取策略性、有原則的做法，不僅能維護消費者的信任，亦有助於減少技術負債，降低未來因系統改造衍生龐大的成本與營運風險。

企業應建立一套跨部門「負責任的AI」治理架構，針對全組織建立一份AI技術與應用案例清單，確保組織有適切的流程與基礎設施。以標準化的方法來評估AI風險亦相當重要，可選擇一套涵蓋關鍵監管框架及公認產業標準，來歸類及評估AI技術與特定應用案例的風險。

實踐負責任的AI 為審計做好準備

AI正在重塑商業模式，企業從財務到內部稽核，從資訊到研發部門，將以前所未有的速度與觀點擴大AI的使用。不只是企業本身，客戶、供應商以及協助評估控制與法遵的團隊，也都將持續朝AI邁進。當AI融入各項企業流程，勢必也將成為審計的一部分。

為審計與確信做好準備，並不代表要放慢在AI的投入，但仍要持續實踐「負責任的AI」。不論是使用AI來支援決策、客戶互動還是內部營運，組織都須解釋AI如何被運用，以及企業如何治理、記錄與控管之。這是建立利害關係人的信任之關鍵。

不只是審計準備，AI應用的各領域，都並非單次任務，而是持續的承諾。隨著AI技術發展，對治理與確信的期望也將隨之改變。現在就建立強大的治理、盤點以及驗證措施，才能確保組織能夠充滿自信且負責任的使用AI。