"Governing the Ungovernable: Corporate Boards Face AI Accountability Reckoning"是回溯最近關於AI相關的現象及反思,由Mary Bennett與Rob Robinson合寫、2025年11月11日在JD Supra網站刊出。以下分享一些內容。
根據EY Center for Board Matters的研究,Fortune 100公司有將近一半現在會稱AI是其董事會監督的一部份—較前一年僅16%的揭露成長三倍。但是只有11%董事會有核准AI專案的年度預算,而根據WTW的研究,僅23%有評估AI顛覆可能會如何徹底重塑其營運模式。
監理局勢讓這個挑戰雪上加霜。EY研究顯示,SEC越來越視AI治理為重大揭露問題,Fortune 100公司裡有48%現在會在申報檔案裡稱—AI是董事會風險監督的一環。過去將技術監督委託給審計委員會的董事會,現在發現AI需要整個董事會投入策略、資本配置及風險管理。
根據National Association of Corporate Directors的2025 Public Company Board Practices and Oversight Survey,有超過62%的董事會預留議程時間討論AI,較2023年的28%高。但是如此的注意並未轉化為系統性治理,因為大多數都沒有正式的AI治理架構,或建立管理階層報導的指標。
當觀察誰負責AI決定,監督挑戰就更嚴峻了。傳統的治理是靠明確的問責鏈,但AI系統卻存在專家所稱的問責落差。當演算法會做出訴訟保留、資料留存或安全分類這些後果嚴重的決定時,人為監督就變得至關重要。Helmuth Ludwig與Benjamin van Giffen兩位教授所做的研究顯示了,有四個關鍵治理領域:策略監督、資本配置、風險管理及技術能力。
建立能力或許是最困難的挑戰。董事會層級缺乏AI素養,會造成董事會與管理階層之間知識不對稱、破壞有效監督。EY Center for Board Matters發現,Fortune 100公司有44%現在會在董事資格裡提到AI條件,比起2024年的26%大幅成長。董事的AI經驗,從開發AI軟體到獲得AI道德認證都有。S&P 500公司裡將AI監督指派給董事會功能性委員會的公司數,2025年增加超過三倍,而審計委員會是最常被指派監督的。
網路安全領導人面對到多重壓力。AI會透過新的資料流和工具擴大攻擊面,同時也帶動了更複雜的威脅。公司說,AI所增強的網路風險,是他們最擔心的問題,很多稱AI是增強攻擊的一股力量。根據Cyber Defense Magazine的分析,此雙重的現實(AI既是矛也是盾),需要將網路安全及AI監督整合起來的治理模式,而非僅視之為彼此分立的功能。
股東行動主義再增加了一層問責性。在2024至2025年的委託投票季裡,AI相關股東提案收到很大支持,遠超過傳統的ESG提案。投資人要求關於AI道德、工作場所影響與演算法歧視的透明度。兩大委託投票顧問機構Glass Lewis與ISS,越來越支持協助股東評估AI風險、又不限縮管理階層裁量權的揭露提案。
如何讓有效治理跳脫只在表演?務實地推行會公司脫穎而出。在這方面有所進展的公司會分享以下的共同實務作法:維持各部門AI系統的清單;執行風險分類,區分高風險應用及例行性自動化;對每個已部署的模型建立明確的問責性;落實持續監控,而非一次性評估。
登載(documentation)也漸漸成為一個關鍵領域。SEC的指引表示,AI的部署很少會達到監理機關期待的登載標準,而這就引發了審計追蹤、版本控制以及理由紀錄方面的落差。成功掌握審計的組織,會維持全面性紀錄:模式設計決定、訓練資料來源、驗證結果,以及持續的績效指標。當監理機關與訴訟者要求說明演算法之決定時,登載就十分重要。
像代理AI之類的新興技術(系統通常會越來越自動化運作)也會帶來更前端的挑戰。當這些代理AI以極低的人為介入做出決定及採取行動時,傳統以人為環節來確保安全就變得不再適用。根據Institute of Internal Auditors的分析,治理模型必須演進,以定義邊界、監控行為,以及落實熔斷機制,而不是核准個別決定。
對於要建立治理能力的組織,Pacific AI專家建議分階段。一開始要全面查核,比對AI會在哪裡運轉、取得什麼資料,以及誰負責每項部署。發展處理可接受使用的政策、道德邊界、資料處理以及風險容忍。引入治理工具,包括可說明的軟體、內容過濾,以及監控平台。以明確的權力評估高風險應用,建立跨功能的委員會。讓治理和對所屬產業最重要的監理要求保持一致。在擴大到整個企業施行前,先在有限、高影響的工作流程內試驗這些結構。
成功的治理無法防範所有AI失靈。相對地,好的治理是:在問題發生時確保透明度、有快速調適的韌性,以及在挫折時仍能透過問責性維持利害關係人信任。這會讓AI從不受控制的風險,轉化為受管理的能力,董事會也就能放心地支持。
後記:獨立性的弔詭—當AI治理成為一言堂時
急於建立AI治理結構,會引發未預料到的後果,破壞這些架構所承諾的問責性:負責實施AI系統的同一批高階經理人,通常也會控制監督他們的委員會。此結構衝突,會將治理從獨立監督,轉為為自己背書的一言堂,如此客觀性就成了一場表演。
AI Competence Center的分析顯示了這個問題的深度:大多數AI道德的委員會,都缺乏執行權,且利益衝突會稀釋客觀性—其成員受聘於本來他們要監督的公司。很多這類的委員會最終都會淪於象徵性(對外宣示良心,卻沒有實權),當決策與公司利益相衝突時,這些成員常會被忽視,甚至默默解聘。
治理結構自身就會造成這些衝突。根據EY Center for Board Matters公布的研究,S&P 500將AI監督指派給功能性委員會的公司數,在2025年增加超過三倍,而且以審計委員會負責最常見。但審計委員會成員基本上缺乏深度的AI專業知識,而且他們主要效忠的對象是任命他們的管理階層—這與廣泛利害關係人的利益就不一致。
內部AI治理結構面對到更嚴峻的獨立性挑戰。Shelf.io表示,外部董事理論上可因結構分離而處理好獨立性問題,但很少有公司採此方式。
這個問題不只是形式上的權力,也會延伸到認知及文化動態。當設計AI系統的人進入治理委員會,不免會有團思現象。研究警告,演算法系統會造成一言堂,增強現有的信念、排除多元觀點。當應用於治理自身時,此動態意味委員會會為推行AI者的假設與偏見背書,而非挑戰他們。
Institute of Internal Auditors強調,需要健全的權力平衡及責任分離,藉此設計和開發AI計畫的人,就不會是測試與部署AI的人。但是AuditBoard的研究顯示,阻礙有效AI治理的不是技術,而是文化與結構。組織面對的問題是責任分配,即每個人都主張會參與治理,但沒有任何一個具備可執行的權力。
獨立性不足會引發相當的後果。根據產業分析,大多數AI治理計畫充其量指部分地實行而已。主要的阻礙不是技術,而是缺乏明確的責任、內部專業知識不足,以及資源有限—所有治理結構都只是為了表面功夫,而非真正運作。
有幾個方法或許可以補強AI治理的獨立性,雖然任何一個方法都需要組織控制放棄他們不願放棄的控制權。以第三方守門人身份運作的獨立AI查核者,或許可檢驗系統的公平性與安全性,而沒有內部利益衝突。這些查核者會公開地報告發現、以透明建立問責性,而不依賴可能會被推翻的內部執行機制。
監理上強制要求獨立監督,或許可複製Sarbanes-Oxley Act的要求—在審計委員會上有資格充足的財務專家。在法律上要求董事會要有AI專家,和實施AI系統的管理階層保持獨立,此要求會建立自願性治理很難達成的結構分離。以契約權賦予外部道德委員會權力,抑止違反道德標準的AI部署,如此會讓該諮詢性委員會成為真正問責的機制。
一言堂問題顯示了在公司AI治理上根本的緊張:要求組織自己對其競爭策略核心技術進行監督,就必然會產生衝突、阻礙監督。Berkeley Haas的研究強調,要是公司激勵重視效率勝於負責任的AI,道德就會變成一場表演秀。若在推動AI與監督AI之間沒有彼此分離的獨立機制,則公司的AI監督就會有批評者所稱的「道德漂洗」風險,營造出實際上無問責性的假象。
資料來源:https://www.jdsupra.com/legalnews/governing-the-ungovernable-corporate-1075132/
沒有留言:
張貼留言