第一部分:建立框架
如果组织决定首先建立治理框架,可以通过自问几个关键问题来启动这一流程。即使没有选择将建立治理框架作为第一步,无论在Al生命周期的哪个阶段需要正式制定治理框架,这些考虑因素都适用。
组织如何开始构建其AI资产清单?
创建Al系统和用例清单对于组织制定有效的Al治理策略和风险管理至关重要。这个过程使组织能够清楚地了解其现有的A技术、正在进行的Al计划及未来规划。
一旦组织设计并实施了新的AI应用准入流程,并确定了其已拥有且需管理的AI技术,AI资产清单便可帮助其理解Al计划的规模、复杂性、预期成果及潜在风险。
以下是组织开始构建AI清单的步骤:
定义AI组件的术语及分类方式
目前业界对AI的定义缺乏共识,因此组织必须明确定义与A相关的术语。这些定义需适应其独特的业务和风险环境,从而支持对Al技术(包括代表其使用Al的第三方)的一致性识别,并为风险决策提供依据。清晰的术语有助于系统化 统一地识别组织内所有AI应用,并纳入第三方风险管理
在制定治理策略和方法时,组织需考虑其使命与目标、行业领域、风险容忍度、监管环境、技术现状等因素。明确Al使用范围并识别影响风险管理的Al属性,包括A功能应用、数据来源、开源与闭源、第三方模型、AI类型(如生成式Ak机器学习、自然语言处理等),是建立A资产清单的关键第一步。
识别目前及计划实施的AI系统和用例
术语定义完成后,需全面梳理组织内已使用、评估中或计划实施的A实例。此过程可涵盖含Al组件的特定平台/应用、生成式A模型及算法。
为此,需与组织内各部门(如IT、运营、销售、市场营销、人力资源等)的利益相关者协作,确保识别所有使用A或受A影响的业务职能。自动扫描工具和与机器学习技术栈的集成可辅助识别开发环境中的模型,并发现组织生态中的A应用。
识别组织内正在使用的Al,还有一部分工作包括降低员工和合作伙伴使用“影子A”的风险。具体而言,影子A指那些未被IT和风险管理职能知晓追踪及管理的Ab
终端用户或许在寻找和使用Al解决方案方面有较强的主观能动性,但这可能会引发组织知识产权泄露AI及其输出结果滥用,进而引发法律及监管风险。
第一部分:建立框架
记录每个用例的关键信息
对于发现的每一项A应用,组织需根据已制定的分类框架收集必要细节,包括但不限于:用途、能力、处理方式(是否使用生成式Ak自动化决策等)、输入数据、解决方案特性、输出结果(做出的决策或执行的任务)以及系统的训练方法。
组织还需收集开发者信息(内部团队或外部供应商)、用户信息(内部员工、客户、合作伙伴或其他外部利益相关者)、部署环境(本地/云端混合)以及与AI资产清单对应的监管合规要求。
此外,对于每项A应用,至少应描述其解决的问题,或是为组织创造的价值。若是较大规模的投资项目,还需有完备的商业计划书。
基于风险评级对Al用例进行分类
在记录A用例及其业务案例后,建议组织根据风险评级对其进行分类关键是尽早建立风险标准,以识别高风险用例,或可能使组织暴露于超出其风险偏好的潜在用例
风险标准通常需法律、风险和合规部门直接参与制定,随后可通过以下因素确定风险等级:业务价值、固有操作风险、实施控制后的剩余风险、风险发生可能性、问题发生对业务运营的潜在影响、所用数据的敏感性、法律影响或声誉风险等。组织完成风险排序后,可优先对高风险用例进行审查和补救。
除了关注适用于自身的A特定监管风险外,各组织还应确保其AI风险承受能力和风险分级系统与整体企业风险管理职能深度融合,这将有助于优先针对高风险用例开展治理工作。
维护动态清单
AI资产清单并非一次性任务,而应随着新用例的引入、现有用例的迭代或淘汰,以及已部署Al解决方案的调整持续更新。
这种方式能确保清单始终反映最新动态,并能够可靠的支撑持续治理与风险管理。每当发生实质性变更时,组织可启动TEW(测试、评估、验证与确认)流程,从而深入了解特定Al用例的影响与风险,并将新信息纳入清单。
触发实质性变更的条件可预先定义,例如:AI开发团队提出的重大功能调整,或风险与合规部门识别的重大监管更新。此外,若某A用例计划用于处理敏感信息,则应自动触发数据保护影响评估(DPIA)。
与现有技术清单整合
将Al资产清单与组织内现有技术清单(如核心T资产清单、记录个人信息处理活动的业务流程清单)整合,以全局视角审视Al在技术生态中的定位。
构建清单往往需要大量跨职能协作,因此领导层的支持是成功的关键。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
