英國IoD網站在2025年6月26日刊出的"AI Governance in the Boardroom—The essential governance questions for your next board meeting"。這是第二部份。
6.建立一個跨部門、獨立運作的審視委員會
*獨立審視委員會有明確、正式、由董事會通過的組織規程嗎?
*該委員會是由多元群體的成員組成,其橫跨各種職位、背景與觀點的嗎?
*所有成員在負責任AI和監理意識上,收到充分訓練嗎?
*委員會有充分被授權在必要時能反對、延後或重新制定AI專案嗎?
*是否有正式流程可讓員工或利害關係人對委員會提出問題?
*委員會多久會向董事會報告一次,以及有建立起固定的治理週期嗎?
*有事件報告機制嗎?
7.驗證、記錄與保護資料來源,並評估資料資產
*AI系統背後的決定邏輯,可以向董事會和重要非技術領導人解釋嗎?或者我們有「黑箱」、無法量化風險的領域嗎?
*我們有警戒線與監控工具以警示我們惡意的能力、資料或模型飄移嗎?
*資料日誌是否安全、可保留、可隨時間查核?
*我們的資料品質如何,是屬於我們的嗎?
*資料的來源都明確登載嗎,包括是否使用任何綜合性資料?
*當採購或建立新資料組或模型持,簽署流程是否包含安全與道德部分?
*我們有落實關鍵績效指標(KPIs)或品質指標,以追蹤資料完整性、偏見與生命週期變化嗎?
*關於AI、著作權及智財權(IP)保護的問題,大家是否瞭解?我們該如何保護IP與創新?
8.訓練與提升人員技能,有效和負責任地使用AI,並將之納入文化
*我們有提供給所有相關團隊可取得、適合聽者的訓練嗎?這是更廣泛的變動管理計畫的一部份嗎?
*第一線使用者具備工具與時間,能提問或挑戰AI產出嗎?
*員工瞭解組織的道德、安全或責任原則嗎,以及其在實務上如何應用到AI?
*新員工瞭解我們的治理期待,並作為其就任講習的一部份嗎?
*員工瞭解AI如何增強偏見嗎,以及如何及早偵測到相關警訊?
*我們有為那些已建立AI技能、推動治理的員工制定激勵或認可嗎?
9.遵循保密要求,包括在相關資料保護法內的項目
*所有資料導向與AI系統在發展或部署前,有對隱私風險做過評估嗎?
*技術團隊在保密、道德與監理義務上,有受到訓練嗎?
*員工能透過受信任、匿名的管道提出隱私相關的問題嗎?
*大家都瞭解整個組織的報告流程嗎,不僅是技術或遵循團隊知道而已?
*對於AI系統處理過多或不必要的個人資料,我們有信心嗎?
*我們供應商對AI隱私風險的瞭解程度有多少,我們瞭解其影響嗎?
10.遵循安全設計要求,確保系統具網路韌性
*組織內的AI系統是從頭就考慮安全此方式來發展與/或部署的嗎?
*對於任何使用AI的系統,我們都有做滲透測試嗎,如果有,我們學到什麼?採取了什麼改正行動?
*大家瞭解未來再訓練以及安全管理的影響嗎?
*處理AI的開發者與工程師會正式承諾開發實務之安全嗎?
*我們有相關機制記錄與回應AI安全事件—包括誤報、濫用或違規行為嗎?
*若供應商有辨識會影響系統的安全問題,我們有監控與報導流程嗎?
11.若發現意想不到的影響或傷害時,檢測系統並移除使用
*我們的治理架構有要求:在部署之前,需要作全AI系統的道德、法律與技術遵循測試嗎?
*對於獨立審視委員會(或等同組織)在審視評估結果及影響部署決策上發揮關鍵功能,我們有信心嗎?
*董事會對落實負最終責任—包括適當時能夠否決、顛覆原部署嗎?
*我們有明確定義的流程,在出現偏見、傷害或意想不到的結果時,就算已經啟動,還是可移除與暫停AI系統使用嗎?
*當從第三方採購AI工具時,我們的採購與合約管理流程有道德與安全要求嗎?
12.定期審視系統與治理實務
*我們對所有使用中的AI系統有進行定期、合乎比例的審視嗎?
*這些審視有包含資料使用影響之評估,而不只是技術指標嗎?
*系統是在符合對外宣稱的目的下運作嗎?
*當系統有偏差、效能下降或不可靠時,我們有門檻與擴大措施的方法嗎?
*當系統涉及高風險或自動化決策時,流程中有人為環節嗎?
*我們會在適當時使用獨立評估或第三方確信工具嗎?
資料來源:https://www.iod.com/resources/business-advice/ai-governance-in-the-boardroom/
沒有留言:
張貼留言