AI治理：(1)AI與ESG：公司如何思考關於AI的董事會治理；(2)AI安全與治理調查發現：當組織衡量風險與獎酬時，AI是一把雙面刃-2024/06/19

(1)AI與ESG：公司如何思考關於AI的董事會治理

透過最近出名的美國股東提案以及該領域首次的執法行動，環繞人工智慧(AI)的治理問題已映入眼簾。正是在此背景下，有興趣部署AI或受其影響的公司將必須深思熟慮如何管理此類風險，以便負責任地實現此新興科技的效益。無論公開發行或私有公司皆越來越常提出一個重要的問題：董事會應該如何監督AI？

在《2024年美國證券交易委員會這麼說(The SEC Speaks)》四月的評論中，SEC公司理財部風險和策略辦公室副風險長Johnny Gharib表示，大型加速申報者(large accelerated filers)所提交的年報中談到AI的次數大幅增加，其中大多數都這麼做。跨行業的揭露最常放在風險要素的章節，其次是在業務章節及管理階層的討論與分析(MD&A)，但申報的文件中一大部分包含在風險要素和業務章節的揭露。Gharib解釋說，當前的揭露制度並未明確刻畫AI，根據現行規範，公司或許仍會被要求描述其他事項，包括董事會在監督風險及揭露控制和程序上的角色。

進行狀況

根據最近一份評估從2022年九月至2023年九月間所申報的委託投票說明書之研究，約15%的標普500(S&P 500)公司就董事會如何監督AI提出一些揭露—定義AI係董事會或功能性委員會的責任、具備AI專業知識的董事，或者一個AI道德委員會或類似的治理架構。然而，該分析查明，揭露董事會或委員會對AI之明確監督，或者設有AI道德委員會的公司比例分別只有1.6％與0.8％，而有13％的公司確認有一位或多位具AI專業知識的董事。領先的資訊科技業有38％的公司提供部分揭露，其次是醫療照顧業的18％。

雖然接受分析的委託投票說明書裡揭露的很少，該研究發現，當把監督AI之責任授權給某一個功能性委員會，公司會選擇擴增現有委員會的責任，而非再創設一個新的委員會。比如，某些公司延伸審計委員會對科技風險的監督並涵蓋AI，而已經有科技委員會的公司，則將AI納入其職權範圍內。再者，一如研究指出，其他公司正將AI監督指派給關注環境、社會或公共政策事務的委員會。

我們也同樣觀察到這個趨勢。例如，我們看到在環境、社會與公共政策委員會（或同等單位）的章程中列舉具備責任感的AI為董事會、管理階層所要審查的關鍵事項，特別指出AI之類的技術對公共政策及社會的涵義。該公司也介紹使用政策，概述在其經營中使用AI的道德方法。

指引及標準

政府機關與產業協會已開始投入資源，協助指引公司及董事會。這包括美國商務部所屬的國家標準和科技機構(National Institute of Standards and Technology，NIST)在2023年一月提出的AI風險管理架構(AI Risk Management Framework)。該架構目的是提供各產業組織一份自願資源來「設計、開發、部署或使用AI系統，以協助管理AI諸多風險並提升AI系統的信任度、負責任的發展以及使用。」

我們期待拜登總統於2023年十月公布的廣泛執行命令(EO)所設想可能與各行業攸關的附帶指南，為要創設一個折衷之後政府面對AI的方法。一如我們在此更為詳細地描述，執行命令指示許多聯邦機關研究AI並提出政策建議、實踐現有的消費者保護法，或參與新規則之制定。該執行命令也透過NIST主管授權商務部長建立「指導方針和最佳實務」，旨在提升產業標準的共識，以開發和部署安全、可靠及值得信賴的AI系統。

下一步？

隨著公司逐漸增加使用AI，並且在美國證券交易委員會和其他美國及國際監理機構與政府的審查下，關於董事會如何監督風險並指導策略，以及對同樣問題的揭露內容將變得比以往更為重要。

資料來源：https://www.lw.com/en/insights/ai-and-esg-how-companies-are-thinking-about-ai-board-governance 

(2)AI安全與治理調查發現：當組織衡量風險與獎酬時，AI是一把雙面刃

這篇是在2024年4月30日在PR Newswire上刊載、Immuta所提供的"AI Security & Governance Survey Finds that AI is a Double-Edged Sword as Organizations Weigh the Risks and Rewards"。

Immuta在4月30日公佈了The AI Security & Governance Report，調查近700位工程主管、資料安全專家以及治理專家，瞭解她們對AI安全和治理之展望。該報告顯現了他們的看法：組織如何採用AI、面對新的安全和保密挑戰，以及更新治理指導方針，以安全地利用此科技優勢。

此發現指出，AI之採用仍然非常高，有超過一半(54%)的資料專家說，他們的組織使用至少四套AI系統或應用程式。超過四分之三(79%)也說，他們投入AI系統、應用程式與發展的預算，在過去12個月有所增加。

然而，此快速的採行也帶來了大量的不確定性。比如，80％的資料專家同意，AI正讓資料安全蒙受更大挑戰。專家憂慮：敏感資料不經意暴露於大型語言模型、以及惡意者透過AI模型進行對抗式攻擊。事實上，有57％的受訪者認為，前一年透過AI而來的攻擊有顯著增加。

資料領導人相信，AI將強化當前的安全實務，比如AI進行的威脅偵測(40%)，以及使用AI作為高級加密方法(28%)。而這些效益也會帶來安全風險，很多組織(83%)正在更新其內部政策與治理指導方針，並採取步驟解決這些新風險：

*78％的資料領導人說，他們組織有專門對AI安全進行過風險評估。

*72％正藉由監控AI預測是否異常，來推動透明度。

*61％有目的基礎的評估控制，以預防未經授權的AI模型使用。

*37％說，他們有整體性策略，以遵循最近或未來的AI規定與資料安全需求。

儘管有這麼多資料領導人表示，AI會使得安全的挑戰性升高，但85％說，他們有某種程度、或非常的信心：他們的組織資料安全策略會跟上AI發展腳步。相對於前一年的研究發現：50％強烈、或部分同意，他們組織的資料安全策略無法跟上AI發展腳步，此顯示了，儘管風險仍存在，但是存在著成熟曲線，且許多組織仍在努力推進AI措施，因為預期的回報值得。

Immuta的報告可見：https://www.immuta.com/resources/ai-security-governance-report /  

資料來源：https://www.prnewswire.com/news-releases/ai-security--governance-survey-finds-that-ai-is-a-double-edged-sword-as-organizations-weigh-the-risks-and-rewards-302130926.html