隨著人工智慧 (AI) 的使用愈來愈普及到日常工作之中,同時也為組織帶來了更多的影響與挑戰,因此,建立一套明確的AI治理架構與監督管理機制,已是組織高層必須要面對的重要課題。
對組織而言,所謂的 AI 治理是指需要建立有效的指導與管理體系,這涉及了組織內部必須建立一個「治理機構 (Governing Body)」,針對組織所具有的 AI 角色來制訂明確的政策,並且清楚定義與「管理層 (Managers)」之間的職責劃分和互動關係。
可依循的AI治理國際標準
針對組織的 AI 治理需求,可以參考由國際標準組織所發布的 ISO/IEC 38507 標準 (Governance of implications of the use of artificial intelligence by organizations),它引用了來自於 ISO/IEC 38500 的 IT 治理核心模型 – EDM (Evaluate, Direct, Monitor),同樣可以將它運用在 AI 治理的情境之中。
在 ISO/IEC 38507 標準中提到需要建立的治理機構,它是為組織設定營運宗旨,決定策略目標,並且要為整個組織負起問責性 (Accountability) 的最高決策與監督組織。治理機構需要考量來自於組織內外的各項議題,包括了內部的營運壓力與業務需求,以及了解外部的主管機關、法規義務及關注方的期望等,這些可以進一步聚焦在 AI 特性與差異 (AI differences)、市場需求 (Market needs) 及利害關係人期望 (Stakeholder expectations) 等三個層面。
Source: Governance implications of the use of AI (ISO/IEC 38507:2022)
運用EDM模型來達成治理任務
ISO/IEC 38507 建議組織可以運用 EDM 模型,針對使用 AI 所面臨的五大關鍵政策領域,將治理機構的任務轉化成為實際可行的營運計畫,並且交付給管理層人員來落實完成。所謂的 EDM 模型,它是治理機構主要的核心任務,可用來持續評估 AI 治理的現況,藉由 EDM 所評估的結果,也可以反映出組織的 AI 治理成熟度,鼓勵組織可以定期的安排與實施。
針對 EDM 模型的概念,簡要說明如下:
- 評估 (Evaluate):治理機構需要評估目前和未來 AI 可能的使用情況,包括了 AI 為組織所帶來的商業機會、技術變革與潛在風險,以及審查管理層對於 AI 的計畫與使用安排。
- 指導 (Direct):依據評估的結果,治理機構要制訂 AI 相關的策略、政策和目標,確立可接受的行為準則與風險胃納 (Risk appetite) 之後,再交給管理層來執行,並且要確保這些與組織本身的願景、文化和法規要求一致。
- 監督 (Monitor):治理機構要建立使用 AI 的監控與量測機制,確保 AI 系統遵循了組織的政策要求,並且可以達成既定的績效,也讓組織有能力及時發現 AI 是否發生不符合預期的情況。
AI治理的五大關鍵政策領域
對組織的治理機構來說,需要涵蓋哪些政策層面,才能夠滿足 AI 治理的要求呢?ISO/IEC 38507 提到了以下五個具體的關鍵政策領域,每一個都需要經歷完整的 EDM 過程,才能夠展現組織的 AI 使用活動被有效地治理,這也是治理機構主要的任務工作。
- 決策制定 (Decision making):由於 AI 可以高度的自動化,因此治理機構必須要有能力確保人類對於 AI 保有適當的監督與控制權,並且在必要的時候可以介入,甚至可以強制中斷 AI 系統的運行與決策。
- 資料使用 (Data use):訓練資料的品質高度影響了 AI 系統的表現與結果,治理機構必須要求組織在資料生命週期的各個階段,建立資料保護、隱私合規,以及防止資料偏見的機制。
- 文化與價值觀 (Culture and values):由於 AI 系統本身沒有情感、倫理和道德觀,因此治理機構必須要遵循「以人為本」的精神,確保 AI 的使用與運作,還有利用 AI 系統所產出的結果,都要符合組織的文化、社會期待、人權及永續發展的價值觀。
- 合規性 (Compliance):AI 的運作對於人類社會和法規帶來了全新的挑戰,治理機構需要確保現有的管理制度,可以因應目前和未來可能會有的 AI 使用活動,使 AI 系統生命週期各個階段和過程,能夠符合組織所適用的法令法規要求。
- 風險 (Risk):AI 帶來了過去在使用 IT 系統過程中,許多未曾面臨的風險,像是缺乏透明度和可解釋性、AI 幻覺與偏見等,因此治理機構需要將 AI 使用納入組織整體的風險管理之中,包括決定對 AI 的風險胃納,實施 AI 風險評鑑與影響評鑑,進行風險處理以將風險控制在組織可以接受的範圍。
依據 ISO/IEC 38507 的規範,組織的治理機構可以運用 EDM 模型,定期針對以上五個關鍵政策領域逐一進行評估,即可建立一個動態且持續的治理循環。
(本圖由 Gemini 生成)組織中的AI治理與管理職責
在本文一開始提到,組織內部必須建立一個治理機構,針對組織的 AI 角色來制訂政策,並且清楚定義與管理層之間的職責。
從職責的角度而言,治理機構主要負責設定 AI 政策和目標,給予方向和明確的指導,並且承擔最終的責任,而管理層也要負責建立和維護一個 AI 系統的管理體系,像是可以參考 ISO/IEC 42001 標準建立人工智慧管理系統 (AIMS),透過它將治理機構的評估、指導與監督要求,落實到與 AI 有關的活動與流程之中。
換句話說,在 AI 治理的過程中,治理 (Governance) 與管理 (Management) 是兩個角色不同但必須緊密協作的實體,唯有透過明確的角色分工與職責,雙方保持緊密的互動與合作關係,才能夠達成組織 AI 治理的目標。
.png)
沒有留言:
張貼留言