負責任的AI與資訊安全
報告原文:Responsible AI and cybersecurity
隨著AI快速發展,AI代理可能帶來的資安風險開始受到關注。企業如何在確保信任及網路安全的前提下,快速導入AI與AI代理,是「負責任的AI」之核心。
- AI正改變資訊安全現狀
- 負責任的AI在安全領域的應用機會
- 建立信任、強化治理的關鍵行動
AI正改變資訊安全現狀
- 隨著AI快速發展並被廣泛採用,AI代理可能帶來的新型網路威脅及資安風險開始受到關注。目前監管單位及相關標準組織已積極投入法規的研議,以應對新的挑戰。
- 企業如何在確保信任及網路安全的前提下,快速導入AI與AI代理,是「負責任的AI」之核心。
- 當今的企業在多個平行系統中運作,傳統系統持續支援重要營運,同時,包含內部/第三方AI工具及AI代理的現代化環境也在快速發展。網路安全與風險部門設法從三大面向跟上AI發展腳步:組織內部、第三方以及威脅者。
- 過去,產品部門可能是最先接觸到AI功能的單位,但現在整個組織都在進行軟體開發。隨著AI掀起從上到下的創新,員工也在嘗試打造自己的解決方案,形成一種「影子IT」。
- 已經採用多年的第三方工具,一夕之間導入AI功能,帶來了不可預期的風險。創新的導入為資訊安全團隊帶來新的挑戰,因為他們需要同時管理軟體供應鏈中受批准及未經批准的AI應用。另一方面,AI也降低了網路威脅的門檻,駭客運用AI擴大並自動化攻擊行動。上述這些因素,迫使網路安全團隊必須加速找出風險管理辦法。
負責任的AI在安全領域的應用機會
- 在AI時代,資安團隊需運用自動化來強化風險管理,簡化複雜的任務,並引入新的功能提升組織效率。為了能跟上AI發展腳步,資安團隊應與產品開發團隊更緊密的整合,將資安內嵌到AI開發生命週期中。
- 此外,技能提升、自動化以及風險模型的更新,也都是重要機會。資安團隊應跳脫過去「仰賴專業人才親自解決每個問題」的思維,轉而運用專業人才創建AI代理人,並協助解決資安問題。AI可以支援事件評估、漏洞分類、威脅情報分流以及供應商評估,以應對潛在風險。AI驅動的防護能比傳統解決方案更快適應,以應對不斷演變的威脅。
- 每一次成功的自動化,就意味著資安團隊可將時間用於處理更複雜的任務,並設法簡化該任務。如此一來,資安團隊便能創造出支點,協助企業評估風險並推動變革。組織也能導入更多自動化、以風險為基礎的方法,並運用AI強化相關流程。
建立信任、強化治理的關鍵行動
- 建立AI沙盒以進行受控實驗:提供一個受保護、隔離的替代方案,打造類似「沙盒」的場域,在無風險的環境中進行創新發想,讓員工有機會突破極限。
- 基層應用案例探索:隨著員工開始投入AI賦能的創新,風險也逐步升高。員工需要了解威脅範圍,找出什麼能幫助他們打造安全解決方案,並透過調查、焦點團體訪問、會議交流以及應用案例識別框架持續收集建議。
- 檢查資料防護與安全,並將AI代理系統納入考量:理解AI代理如何以新穎的方式使用資料,因為這可能使組織暴露在資安風險中。將日新月異的資料取用政策與技術納入考量,以監測並控制AI代理的使用。
- 部署AI變革管理:運用AI代理界定風險,並根據控管要求及變革目標來簡化批准流程。
- 檢討AI系統中的資料安全:應確實了解涵蓋組織資料的各種解決方案,即便目前還未導入AI功能,未來也可能會導入,因此需將AI增強可能帶來的風險納入考量。
- 更新或建立AI治理模型:確保治理模型能夠應對當今最新的網路風險,包括法規要求應降低的風險。
負責任的AI與第三方風險管理
報告原文:Responsible AI and third-party risk management
第三方業者正透過雲端、 SaaS工具以及外包服務運用AI,來提升整體效能並創造額外價值。對企業而言,掌握第三方使用AI的「可視性」逐漸成為挑戰。
- AI正在快速改變第三方風險管理現狀
- 第三方風險管理如何透過「負責任的AI」創造價值
- 第三方風險管理的關鍵行動
AI正在快速改變第三方風險管理現狀
- AI在短時間內成為企業營運不可或缺的一部分,但許多組織仍把焦點放在自身經營,而忽略了供應商、承包商以及服務提供者也都開始導入AI。第三方業者正透過雲端、 SaaS工具以及外包服務運用AI,提升整體效能、自動化決策並創造額外價值。對企業而言,掌握第三方使用AI的「可視性」逐漸成為挑戰。
- 傳統供應商管理工具,尚未具備足夠的功能應對AI帶來的挑戰,例如模型訓練方式、偏見消除或資料族譜管理等。若缺乏更新及控管措施來檢視供應商對於AI的使用情況,恐導致企業跟不上法規更新腳步,且與利害關係人的期待脫節。
- 第三方風險管理(TPRM)面臨雙重挑戰:一方面要跟上供應鏈生態系中AI快速發展的步伐,另一方面還要確保第三方關係的誠信、安全性與法律遵循。
- 第三方所使用的AI功能可能涉及敏感資料、影響廣泛的自動化決策,並帶來難以治理或稽核的從屬關係。不過,第三方也運用AI為組織帶來新能力,並提升整體效率,因此其潛在效益相當可觀。
- 為了管理這類新型風險,組織應超越條列清單式的盡職調查,重新思考監督策略、更新供應商合約,並將以AI為導向的控制措施整合進風險架構中。管理得當的情況下, TPRM將發揮關鍵作用促使供應商落實「負責任的AI」,在降低曝險的同時,幫助企業導入新的技術並推動創新。
- 部分組織會透過工具分析DNS流量與網站資料,標示出潛在的生成式AI使用情形,例如辨識「.ai」網域及已知的AI供應商等方法。然而,許多企業仍仰賴人工聯繫與盤點,因此在導入新供應商時較容易產生摩擦與延宕。
- 供應商使用AI模型的方式,可能影響組織核心服務及決策,甚至是資料治理。然而現有的監督機制,如系統與組織控制( SOC 2)措施或通用型風險問卷,往往缺乏足夠的針對性,難以確實評估供應商如何使用AI、使用哪些資料,以及是否建立適當的控制措施。
- 為了跟上AI發展的腳步,企業應重新思考如何識別、評估與監控第三方AI使用情況,包括將AI特定控制措施納入風險模型並強化盡職調查流程。此外,還可以重新檢視合約,確認供應商會揭露其AI部署、提供足夠的治理,且其AI使用符合企業的風險概況。
第三方風險管理如何透過「負責任的AI」創造價值
- 主動管理第三方生態系統中的AI相關風險,可以幫助企業簡化風險評估流程、縮短簽約時間,在不影響治理的情況下更快導入供應商。要進一步釋放價值還有另一個作法,是將供應商選用流程標準化,優先選擇已通過審查且實務做法符合組織「負責任的AI」標準的供應商。全面的標準化可能難以落實,但辨識並預先審查企業主要的第三方服務供應商,將有助於減輕評估多種AI解決方案的負擔,讓企業得以專注於與供應商間的策略整合。
- 健全的AI治理制度,將有助於第三方風險管理團隊更快且更有信心地採取行動。
- 當第三方風險管理角色,從被動的守門員轉為主動的賦能者時,企業才能以負責任的方式大規模導入AI解決方案。
第三方風險管理的關鍵行動
- 重新審視供應商合約,鼓勵負責任的使用AI:更新合約內容,要求供應商提供服務時應主動揭露AI使用情況,並將通知義務與風險透明度條款納入;此外,可適時的建立獎勵機制,鼓勵供應商以負責任的AI進行創新。
- 嚴格審查資料使用政策:確認第三方是否使用組織的資料進行模型訓練。以書面方式明定資料處理、同意機制以及資料再利用的限制。
- 針對AI進行盡職調查並持續監控:必須敦促供應商提高透明度,並提供模型開發、資料隱私、偏見消除以及可稽核性的相關證明。為能支持上述工作,企業可考慮將AI相關附註加入SOC 2報告、獨立性證明或其他治理工具中。
- 強化第三方風險分級框架:將AI應用案例納入考量,重新調整風險評分標準。根據部署的AI類型、資料敏感程度,以及AI發生錯誤、服務中斷或遭濫用時的潛在業務衝擊,來決定盡職調查的優先順序。
- 在評估過程強化對於AI的關注:針對AI訓練模型的設計、資料來源、風險管控、可解釋性以及監控流程進行提問。
- 追蹤並應對法規的更新:持續關注AI治理法規的更新,並確認第三方合作夥伴在執行上符合當地及產業法規要求。
負責任的AI與產業標準
報告原文:Responsible AI and industry standards
AI快速發展之下,將產業標準視作一個「形式上的目標清單」已無太大意義。但在協助企業替為未來技術發展與法遵預作準備方面,產業標準仍扮演關鍵角色。
- AI迅速改變產業標準
- 「負責任的AI」如何協助企業創造價值
- 採取關鍵行動 策略性管理AI風險
AI迅速改變產業標準
- 長久以來,產業標準一直是企業追求的目標——展現品質、降低風險並與利害關係人建立信任的方式。儘管要取得產業標準認證相當耗費時間與精力,但過程相對直接,只要確保營運符合相關框架、獲得認證,就能以此認證向消費者及監管機構表明其可靠性。
- 過去幾年,產業標準制定機構仍試圖沿用過往的模式推動AI框架,但AI變革的速度削弱了此方法的可行性。許多現存或者制定中的AI標準,僅針對特定、少數的AI應用,且治理框架常有過於理想化的問題。
- 現行的標準並未預見生成式AI及AI代理系統的複雜性、動態化以及功能多樣性。這些技術被導入複雜的供應鏈,並被嵌入其他軟體應用中,這往往牽涉到多個不同的供應商,或者是來源難以追溯的訓練資料。
- 儘管如此,產業標準仍有其參考價值,尤其是對於希望透過外部驗證確認自身發展方向的企業來說,更是不可或缺的工具。它可為AI發展路徑提供框架,讓企業能為未來的法規遵守預做準備,並與產業連結,共同形塑並實踐新一代「負責任的AI」。但是,相較於過去幾年AI還沒那麼快速發展時,現在組織必須更有「策略性」的參與產業標準制定與遵循。
- 與其盲目追逐認證,建議企業專注於「策略韌性」,打造一套能隨著AI技術發展演進、靈活應變的治理框架。產業標準可提供一套指導原則,但企業應審慎解讀,專注於核心能力的建構,包括AI模型盤點、測試、驗證以及持續性的監控。
- 整體而言,在AI快速發展的背景之下,將產業標準視作一個「形式上的目標清單」已沒有太大意義。但在形塑企業戰略、協助企業為未來的技術發展及法規遵循預做準備方面,產業標準仍舊扮演關鍵角色。
「負責任的AI」如何協助企業創造價值
- 企業應將標準視為其AI發展路徑的指南,並為未來的法規要求做好準備。例如:
- ISO/IEC 42001:2023:首個AI管理系統的國際標準,專注於建立、實施、維護並改善AI管理體系。鼓勵採用風險基礎方法(risk-based approach),且涵蓋道德責任、透明度與問責制度等議題。
- NIST AI 風險管理框架(AI RMF 1.0):美國國家標準技術研究所(NIST)制定的自願性框架,提供AI相關的風險管理指引,並將公平性、隱私、問責制、穩固性以及安全性等議題納入考量。
- ISO/IEC 23894:2023:針對偏見、透明度與安全性等AI獨有的風險,提供一套識別、評估與管理的框架,適用於整個生命週期,確保AI的開發與使用遵循ISO 31000等既有的風險管理標準。
- ISO/IEC 42005:2024:專為AI系統影響性評估設計的一套指引,著重於理解AI及其未來的應用如何影響個人、群體以及整個社會。此標準可幫助企業在AI系統完整的生命週期中,辨識、評估與記錄潛在的影響,以實現AI系統的透明度、問責制度與誠信。
- 參與標準制定工作和產業聯盟,將能創造與同業對話的機會,協助產業培養面對挑戰、機會的共同語言,並凝聚對於解決方案的共識,甚至定義出AI之於產業的意義,這對AI治理極具價值。相關的投入也能幫助企業了解AI如何重塑產業競爭格局,確保企業跟上產業實踐「負責任的AI」之腳步。
- 最後,和標準協會及產業互動,更有助於企業影響標準的演進與制定方向,提供企業交流與分享的管道,確保產業標準符合未來實際應用的場景,幫助企業在「負責任的AI」方面豎立領導地位。
採取關鍵行動 策略性管理AI風險
透過策略性地採用產業標準,企業可以更有效管理當前的AI風險。以下是幾項關鍵措施:
- AI治理標準應與商業策略一致:切勿盲目的選擇或採用標準。應先釐清AI如何協助企業達成業務目標,並量身打造一套實務治理方法,以切合策略方向。
- 打造具靈活性與韌性的計劃:訂定AI風險與法遵計劃時,就要預設AI應用情境、風險以及監管環境都可能改變,並為此預先做好準備,讓計劃能夠與時俱進。因為,幾乎可以篤定,現在想做的事情,將和兩年、三年後大不相同。
- 將標準視為彈性框架:建議將ISO 42001、NIST AI等產業標準視作「工具」,而非規則手冊。專注於自身核心能力的建立,包括盤點AI資產、測試與驗證以及監控工作,而非一味的追求認證。
- 與產業互動,引領產業標準的制定:與產業及標準協會交流,不僅能促進彼此間的合作,還有助於即早掌握法規動向,了解與同業間的競爭情況,並跟上整體演進的腳步。
- 投資專業知識團隊及合作夥伴:由於AI發展的複雜性高且變化速度相當快,企業應與能洞察前景、解讀產業標準演進方向的專業人才保持交流,讓其提供適當的策略與調整建議。
負責任的AI與監管準備度
報告原文:Responsible AI and regulatory readiness
AI技術快速演進的同時,監管環境也日漸複雜,這為AI監管帶來雙重挑戰。
- AI如何快速重塑監管格局
- 負責任的AI在監理方面的應用機會
- AI治理與風險管理的六大關鍵行動
AI如何快速重塑監管格局
- AI技術快速演進的同時,監管環境也日漸複雜,這為AI監管帶來雙重挑戰。
- 企業應持續監測AI技術進展,了解當今與未來的監管制度如何影響技術發展,以及其對組織營運與法遵的意義。隨著技術複雜性與風險提升,開發者和部署者將受到影響,圍繞透明度及文件記錄相關的監管要求也可能隨之增加。
- 在技術發生重大變革的同時,法規碎片化正形成另一股反向力量,尤其是對於跨國組織來說,它們將面臨日益複雜的法遵問題。目前美國政府嘗試朝減少監管的方向發展,盼能藉此推動AI創新與經濟成長;歐洲則以人類福祉、民主程序及基本權利為中心,建立一套整體性的監管架構;與此同時,其他國家也都有各自的推動方式,這樣的分歧使企業必須同時針對多個監管環境進行規劃,滿足各別的時程、定義及法遵期望。
- AI法遵涉及價值鏈中眾多的角色,從開發者、經銷商、部署者到消費者,要在眾多利害關係人間維持法規遵循,將使供應商管理與合約協議變得更為複雜,使監管環境更添挑戰。
負責任的AI在監理方面的應用機會
- 面對法規監管採取積極主動的態度,將有望減少罰款、成本高昂的執法行動、法律費用以及其他負面的影響;法遵團隊也能透過提倡「負責任的AI」,解鎖更多價值。
- 企業與消費者的關係是建立在「信任基礎」之上,而對於日益依賴AI的企業來說,若要維繫與客戶間的信任,就必須將信任融入AI系統。積極推動「負責任的AI」之企業,更有機會對準客戶的價值觀,在建立信任的同時,創造差異化的競爭優勢。
- 對AI監管準備採取策略性、有原則的做法,還有助於減少技術負債,降低未來因系統改造衍生龐大的成本與營運風險。
AI治理與風險管理的六大關鍵行動
- 建立一套跨部門「負責任的AI」治理架構:串聯各業務單位、領導階層與營運團隊,促進具凝聚力、協調性的AI法遵工作。制定一套完整的AI政策,協助組織釐清如何負責任的使用AI,並界定妥善運用AI的業務規則。
- 建立一份涵蓋全組織的AI技術與應用案例清單:確保組織有適切的流程與基礎設施,維護並時時更新這份清單。此外,也可透過投資相關工具,強化文件紀錄與可稽核性。
- 建立一套標準化、風險基礎方法,來歸類並評估AI風險:選擇一套涵蓋關鍵監管框架(如《歐盟AI法案》)及公認產業標準(如NIST AI風險管理框架),來歸類及評估AI技術與特定應用案例的風險。
- 持續追蹤即將上路的新法規:與產業協會互動或者與公部門利害關係人合作這類的外部聯繫工作,可幫助企業隨時掌握監管環境的最新動態,並了解提案或潛在法規可能衍生的影響。
- 強化對AI供應商的盡職調查與合約條款,並明確界定責任歸屬:重新檢視與第三方間的合約,了解法遵義務,並釐清AI使用可能衍生的風險與破口。監控供應商的法律遵循情況,降低第三方的監管風險。
- 提升組織的AI素養:根據員工的職位、職能以及使用AI的方式,提供相應的訓練與職能提升。
負責任的AI與資料隱私
報告原文:Responsible AI and privacy
應對AI相關的隱私議題,不僅能協助企業降低風險,亦能從中找到策略性優勢與機會。
- 資料隱私現狀正在改變
- 負責任的AI在隱私管理的契機
- 隱私管理的關鍵行動
資料隱私現狀正在改變
- 企業領導者在使用AI時應了解,資料的收集與處理是最重要的前提,AI對龐大資料集的需求,可能會增加隱私侵犯的風險,例如利用消費者個人資訊進行AI訓練以提供差異化服務。
- AI推論及預測行為的能力,可能導致個人資料的外洩。儘管組織有事先取得用戶同意,可將其資料用於改善使用者體驗、提供個人化服務,但關鍵在於,用戶是否有同意將資料用於AI模型訓練?第三方資料時常帶來特定的隱憂,而組織是否有權力將第三方資料用於構想的AI應用中?
- 上述這些風險凸顯了深入AI模型如何使用個人資料重要性。組織應制定全面的政策,來處理資料最小化、同意權、使用者自主權等議題。此外,也應該向客戶等重要利害關係人證明AI驅動之決策的可解釋性。因為透明度與問責制度,對於維護使用者的信任相當重要。
- 企業應避免隱私政策與治理框架成為創新的瓶頸。為了維持隱私團隊評估AI應用案例的效率,許多組織已經開始嘗試「分級治理方法」,將注意力集中在風險最高的專案上。
此外,快速變化AI生態,可能會為AI計畫與隱私義務帶來額外的挑戰,包括:
- 法規的複雜性: AI技術演進速度已超出現有法規,加劇法遵環境的複雜性,因此企業應持續追蹤《歐盟AI法案》等重要法案,以及其他新興法規框架的動態。
- 資料存取與控制權:部分法律隱私框架賦予個人存取資料、要求更正或刪除的權利。然而,涉及用於AI模型訓練的資料時,恐怕難以達成相關請求。
- 技術導入:差分隱私(differential privacy)與聯邦學習(federated learning)等技術,將有助於AI系統履行隱私義務,但這背後需要大量的專業技術資源與知識。
- 強化監控要求: 持續監控AI系統,將有助於即時發現並處理隱私外洩事件,但同時也將增加營運負擔。
負責任的AI在隱私管理的契機
- 應對AI相關的隱私議題,不僅能降低風險,亦能從中找到策略性優勢與機會。
- 隱私承諾可提升品牌聲譽及顧客忠誠度。優先實踐「負責任的AI」的企業將在市場中脫穎而出,吸引有隱私意識的消費者。若企業能以創新、無需個人資料的方式運用AI,還有機會進一步創造出差異化優勢。
- 即便是尚未使用到個人資料的AI應用,若能提早投資入隱私管理,亦有助於企業在未來AI模型擴展、涉及敏感資料時,快速做出應對。此外,嚴格的資料清理與隱私保護措施,也能提升資料完整性,產出更可靠的AI結果。清除過時的資料,可確保AI模型的資料取用更即時、可靠,且有清楚的來源。
隱私管理的關鍵行動
- 建立全面的AI治理架構:制定詳細的政策,包含AI專用的指導方針、法遵措施和風險管理策略。
- 落實清楚的資訊揭露與同意權:清楚告知AI應用情況,讓消費者自行決定是否同意其個人資料被用於AI相關應用。
- 投資隱私增強技術(PETs):運用加密、匿名化以及安全多方運算等工具,保護AI系統中的敏感資料。讓工具與模型的風險等級相匹配,並非所有模型都需要完全匿名。
- 培養組織隱私文化:推動培訓計畫提升組織意識,讓員工充分了解隱私的重要性,以及其在隱私維護方面的角色。
- 和監管機構及產業聯盟互動:隨時掌握法規的變動,並投入產業標準的發展。
- 對AI系統進行定期稽核:持續監控並導入評估準則,以確認AI應用符合隱私標準並如預期運作。稽核項目應包含訓練資料的使用情況、同意權追蹤以及模型輸出結果。
負責任的AI與內部稽核
報告原文:Responsible AI and internal audit
AI風險已成為審計委員會與領導階層最關切的議題。AI正在重塑核心業務流程,其變革速度已超出治理模式的應對能力。
- AI如何快速改變內部稽核
- 內部稽核如何透過「負責任的AI」創造價值
- 內部稽核的關鍵行動
AI如何快速改變內部稽核
- AI並非即將到來,它可能早已存在甚至深植於企業之中。從自動化審核、生成式客服,到AI驅動的財務預測,企業領導者正爭相導入AI。然而,若缺乏適當管控措施,這樣的發展速度可能會導致風險失控,這也凸顯了審慎規劃自適應控制框架的必要性。
- 內部稽核面臨關鍵抉擇:主導AI治理工作;或是在模型失靈、法遵出現漏洞或引發公關危機後,才倉促應對。
- 當前,AI 風險已成為審計委員會與領導階層最關切的議題。AI正在重塑核心業務流程,其變革速度已超出治理模式的應對能力。缺乏明確策略或沒有全面盤點AI應用案例的組織,將暴露於風險中。
- 若缺乏適當的監督,AI系統可能會引發以下危機:做出侵犯隱私、帶有偏見或不符公平性期望的決策;缺乏可解釋性,加劇稽核與法規遵循工作的複雜性;因第三方模型或資料外洩,衍生出資訊安全與IP相關風險。
- 董事會、監管機構和客戶都在尋求答案,而這些答案正有賴內部稽核來提供。前提是,內部稽核團隊必須具備相應的職權、能力與框架。PwC《AI時代的監督:了解審計委員會的角色》報告指出,內部稽核是評估企業AI治理及相關風險管理計畫是否有效的關鍵機制。審計委員會需要了解企業如何運用AI提升稽核效率,以及採用AI模型及風險管理機制為稽核工作帶來的影響與成果。
內部稽核如何透過「負責任的AI」創造價值
- 除了降低風險,內部稽核還能形塑驅動創新的治理框架,實踐負責任的AI,創造價值並實現轉型。正如賽車的煞車系統,因為確信有能力停下來才能開得更快,企業也因設有安全護欄、妥善的治理,才能加速AI創新。
- 讓內部稽核團隊及早參與AI治理流程,將有助於評估初步框架、新興風險,在AI開發與使用上建立信任。此外,內部稽核團隊還能在透明度、隱私、產出品質與問責等關鍵議題提供指引。
- 內部稽核不僅能確保AI系統在發展之初就具備強大的安全防護,還能確保在應用規模擴大的同時,仍將「負責任的AI」視為首要任務。
內部稽核的關鍵行動
- 掌握AI整體布局與可視性:審計團隊應建立動態更新的 AI 系統、模型與嵌入式工具清冊(包含內部開發及第三方系統),並評估其完整性。清冊不僅是文件紀錄,還是評估供應商集中風險與法規遵循情況、識別高影響力應用案例,以及規劃未來審計工作的基礎。審計團隊與資訊、資料治理及採購部門合作,確保各個系統、應用程式和供應商平台中的AI資產都能被標記與追蹤。
- 審核AI治理結構:AI治理工作通常橫跨各部門,而內部稽核可評估治理角色、上報流程及決策權是否被明確定義且按預期運作,讓治理結構更清晰。審查組織的治理模式,確認已明定AI監督責任、配置相應資源,並投入運作。
- 評估AI風險與控制框架是否充分:AI 帶來眾多新型風險,從資料飄移、偏見,到可解釋性不足及不當使用,這些風險可能無法透過標準的風險矩陣來應對。審計團隊應確認組織已採用公認的框架(如 NIST AI RMF、ISO 42001 或 COSO)來應對相關風險。審查應著重於高影響力模型控制措施的設計與營運效能,並檢視訓練資料、驗證方法與決策邏輯等關鍵要點,是否得到適當的治理與記錄。
- 將內部稽核融入「負責任的 AI 」流程:部署完成後才進行AI評估的作法已不可行。內部稽核應參與AI設計與部署的完整生命週期,尤其是高風險或直接與客戶相關的模型。針對高風險模型,應建立上線前的審查流程,並加強關注透明度、預計用途及後備管控措施。
- 提供審計團隊AI工具:組織應探索如何運用AI強化內部稽核效率。試行AI工具,例如用於控制測試、文件摘要、異常偵測等,來簡化整體稽核流程,擴大稽核範圍,並挖掘更多預測性洞見。
相關連結:
- Report > Delivering Responsible AI: Insights for risk leaders
- Further reading > AI代理調查報告
報告摘要時間:2025年8月10日
PwC Taiwan相關服務:
數位轉型服務基地
關注我們
