董事會應要求AI提供的：評估、稽核與保證

作者: Erika Fille T. Legara

在先前的《BusinessWorld》文章中,我主張人工智慧治理已超越監督少數技術專案的範疇,現在涵蓋了確保組織內由人工智慧驅動的決策仍與策略、風險承受度和道德標準保持一致。董事會自然會產生的後續問題是:除了設定期望之外,組織如何驗證其人工智慧系統實際上是按照預期、負責任地在既定界限內運作?

答案在於三個相關但不同的學科:人工智慧風險評估、人工智慧稽核和人工智慧確信。熟悉財務監督的董事會會發現這個邏輯很直觀。挑戰和機會在於將同樣的紀律應用於人工智慧。

三個不同但相關的概念
精確理解每個術語的含義很有幫助,因為它們經常被交替使用,但實際上不應該如此。

人工智慧風險評估是組織識別、評估和優先處理與其人工智慧系統相關風險的內部流程。它詢問可能出什麼問題、發生的可能性有多大、以及影響會是什麼。這是其他一切的基礎。沒有可信的風險評估,稽核和確信都沒有有意義的基準可依循。重要的人工智慧系統存在於每個部門:銀行的信用評分模型、醫院的患者分診工具、大學的學生表現預測器、政府機構的案件優先處理系統。它們共同的特點是後果,包括以有意義的方式影響真實人群的輸出結果。

對於任何此類系統,風險評估應該是系統化的、有文件記錄的,並且隨著模型的演進和營運環境的變化而定期重新審視。

人工智慧稽核是獨立檢查人工智慧系統或其周圍的治理框架是否符合既定的標準、政策或要求。這是一個基於證據的流程,由充分獨立於被審查系統負責人的一方進行。人工智慧稽核可能評估組織的人工智慧管理實務是否符合國際公認的標準,例如ISO/IEC 42001,這是2023年發布的全球首個人工智慧管理系統標準,或特定模型是否在核准的參數範圍內運作且沒有意外偏差。重要的是,2025年7月發布的監管稽核人員本身的標準ISO/IEC 42006,現在規定了稽核和認證人工智慧管理系統的機構所需的能力和嚴格程度。換句話說,稽核專業正開始將其對人工智慧業務的問責制度化。

人工智慧確信是從稽核流程中產生的正式的、面向利益相關者的結論。這是由合格且獨立的一方發布的專業意見,使董事會、監管機構、投資者和公眾確信人工智慧系統或人工智慧管理框架符合既定標準。確信是將內部審查轉變為可信的外部信號的關鍵。

人工智慧確信的基礎
獨立確信的概念對董事會來說並不陌生。每年,外部稽核人員檢查組織的財務報表並發表意見;這是基於證據得出的結論,根據國際公認的標準進行,並以稽核人員的專業獨立性為基礎。該意見之所以具有分量,正是因為管理它的框架嚴格且完善。這個邏輯適用於任何行業;無論組織是銀行、醫院、集團企業還是公共機構,財務稽核都是熟悉且可信的機制。

同樣的邏輯現在適用於人工智慧。當組織對其人工智慧系統做出公開或監管聲明時,聲稱它們是公平的、透明的、符合既定標準的,或不存在重大偏差,問題是:誰獨立驗證該聲明,以及在什麼專業框架下驗證?

對於會計和稽核專業而言,答案是ISAE 3000,即國際審計與確信準則委員會(IAASB)發布的《國際確信業務準則》。ISAE 3000管理歷史財務資訊以外事項的確信業務,使其成為人工智慧確信的自然歸宿。根據此標準,專業人員可以進行合理確信業務(類似於財務稽核的較高標準)或有限確信業務(深度上更接近審查)。等級的選擇很重要,應該是經過深思熟慮的,根據相關人工智慧系統的重要性和風險進行調整。

一個密切的當代平行案例是永續性或ESG確信。許多菲律賓上市公司已經委託對其永續性披露進行獨立確信,通常是根據ISAE 3000。機制完全相同:獨立從業者根據既定標準檢查一組聲明並發布正式結論。主題不同;專業紀律不變。

這對董事會意味著什麼
從這個框架可以得出三個實際意義。

首先,董事會應該詢問其組織是否對重要系統進行了嚴格的人工智慧風險評估。這不是一次性的工作,而是一個持續的流程,隨著模型的重新訓練、使用案例的擴展和監管環境的演變而更新。下游稽核和確信工作的品質只能與之前的風險評估一樣好。

其次,董事會應該區分內部和外部人工智慧稽核。內部稽核功能在提供人工智慧控制按設計運作的確信方面發揮著關鍵作用。然而,董事會還應該考慮是否需要對重要的人工智慧系統進行獨立的第三方稽核,特別是對於以重大方式影響客戶、員工或公眾的系統。與財務稽核一樣,獨立性增強可信度。

第三,隨著組織越來越多地向監管機構、投資者和其服務的社區做出關於其人工智慧實務的公開承諾,董事會應該詢問這些承諾是否有可信的確信支持。沒有獨立驗證的主張充其量只是等待實現的聲譽風險。

仍在建構能力的專業
如果不承認當前的局限性,對這個領域的介紹就不完整。人工智慧確信的基礎設施仍在建設中。專業標準正在形成。稽核人員在人工智慧方面的能力,涵蓋機器學習、演算法偏差、資料治理和模型透明度,尚未在整個專業領域統一發展。ISAE 3000提供了確信框架,但其中的人工智慧特定方法論仍在成熟中。

對於尚未準備好進行正式確信的組織來說,這不是停滯不前的理由。對重要人工智慧系統進行結構化、定期評估是有意義且實際的第一步。它建立了確信準備最終需要的內部紀律、文件記錄和治理習慣。今天委託進行此類評估的董事會,即使是非正式的,也在發展制度性能力,當監管期望強化和利益相關者審查加強時,這些能力將至關重要。

這個觀點是我與同事們在研究中更深入探討的,我們正在研究監管尚未跟上技術的經濟體中的生成式人工智慧治理。核心論點是,企業已經是道德主體,對其利益相關者負有現有的道德義務;等待專門的人工智慧立法對於負責任的治理既非必要也不充分。採取行動的義務已經存在。所需要的是將其付諸實施的組織意願。

這不是董事會在更廣泛議程上等待的理由。這是現在向其外部稽核人員、內部稽核職能和管理團隊提出明智問題的理由,以便當專業能力趕上需求時,他們的組織準備好有意義地參與。

財務稽核並非一開始就完全成形。經過數十年的標準制定、專業發展和從企業失敗中吸取的慘痛教訓,獨立稽核才成為今天可信的制度。人工智慧確信正處於類似的早期轉折點。現在參與其中的董事會,向其稽核人員提出更尖銳的問題,要求的不僅僅是管理層的主張,並在監管機構要求之前建立內部能力,不僅會減少自身的風險敞口。他們還將幫助塑造菲律賓組織和更廣泛地區的負責任人工智慧問責制的面貌。

Erika Fille T. Legara是一位物理學家、教育工作者以及資料科學和人工智慧從業者,工作範圍橫跨政府、學術界和產業界。她是人工智慧研究教育中心的首任董事總經理兼首席人工智慧和資料長,也是亞洲管理學院的副教授和Aboitiz資料科學講座教授,她在那裡創立並領導了該國首個資料科學碩士課程,時間從2017年到2024年。她擔任企業董事會成員,是企業董事協會會士、IAPP認證人工智慧治理專業人員,以及CorteX Innovations的共同創辦人。