可信任AI走入金融　治理框架牽動規模化

台灣IBM諮詢AI與數據服務業務主管林桂如表示，過去許多企業把AI治理視為合規成本，甚至擔心治理會拖慢創新速度，但這樣的看法正在快速改變。當企業真正開始把AI導入核心業務場景，管理階層在意的已經不是模型展示效果，而是AI能否穩定納入作業流程，並在風險可管理的前提下持續擴大使用。尤其金融業牽涉理財、授信、客戶互動與決策支援等高敏感場景，AI一旦進入這些流程，牽動的便不只是效率，而是風險承擔、法規要求與品牌信任。

她引述IBM商業價值研究院（IBV）調查指出，治理投入較高的企業，AI效率可提升27%，AI營運利潤可提升34%，而約有四分之一的AI專案失敗，原因可追溯到治理不足。這代表AI治理已不再是附屬性的行政工作，而是企業能否讓AI創造商業價值的必要前提。企業若缺少可信任的AI責任體系，管理階層就很難放心讓AI進入核心流程，AI專案自然容易停留在局部試辦，遲遲無法走向規模應用。

法規指引走向治理工程

金融業AI治理之所以特別急迫，與監理要求逐步成形有直接關係。林桂如表示，台灣金融監督管理委員會已提出《金融業運用AI指引》，而《AI基本法》也逐步勾勒出本地AI治理的通用原則與政策方向。國際間也有美國國家標準與技術研究院AI風險管理框架（NIST AI RMF）、ISO/IEC 42001人工智慧管理系統（AIMS）及歐盟人工智慧法案（EU AI Act）等治理參照。這些制度促使企業正視AI不能只談導入，更必須納入風險管理與問責機制。

問題在於，法規與指引多半只提供方向，企業真正缺的卻是執行方法。她表示，金融業目前常見的挑戰有三類。其一，企業不知道具體哪些人要負責、在哪個時點該完成哪些治理動作。其二，企業不知道內部標準如何界定，例如什麼樣的應用屬於高風險、什麼程度才算嚴格控管。其三，企業即使知道要做公平性、可解釋性、穩健性或隱私等檢測，也常無法判斷究竟該採用哪一類方法，才能兼顧合規要求與技術可行性。許多組織因此停留在紙本合規，文件做了不少，實際治理能力卻還沒有真正建立起來。

也因此，林桂如認為，金融業推動AI治理，核心不是再增加更多原則條文，而是要把法規語意轉成可執行的治理藍圖，也就是策略、組織、流程、變革、工具與管理等六項治理基礎。先行定義AI治理方針，建立問責與審查機制，再把AI系統生命週期風險管理納入流程，搭配變革管理、人才培訓、治理工具與PDCA循環，才能讓治理由文件要求轉成持續運作的管理制度。這代表AI治理要處理的，並非單一專案或模型，而是一套企業級管理工程。先釐清場景風險類型、風險等級與模型任務，再配置合適的控制項與技術方法，讓資源投入聚焦在真正關鍵的位置。

生命週期治理決定規模化速度

在方法論設計上，林桂如強調，AI治理不能等系統快上線時才補文件，而是要嵌入AI生命週期。從系統規劃、系統設計、資料蒐集與輸入、模型建立與驗證，到部署上線與營運監控，每一個環節都應有對應的控制點、控制項與紀錄留存要求。企業必須清楚知道，在什麼時間點、由什麼角色、留下哪些證據，後續才能進行風險驗證、責任界定與稽核追查。這樣的治理模式，才能真正與既有開發流程結合，而不會淪為外加一層、專案團隊普遍排斥的行政作業。

她進一步說明，這套方法論將專案治理拆成四個循環步驟，依序為評估系統固有風險、選擇治理控制項、執行治理控制項，以及評估系統殘餘風險。其設計邏輯，在於讓企業能依循固定方法處理不同AI專案，避免每一次導入都重新陷入抽象討論。若治理框架沒有把這些因素一起放進來，最終就容易出現業務部門想快推、法遵部門看不懂、資安部門難介入、稽核部門無法驗證的斷層。AI治理若要成為企業能力，核心就在於建立一套跨部門都能理解的共通語言。

實務上，治理的重點須放在流程統一、標準一致與證據可追溯三件事。流程統一，代表業務、風管、資安、法遵、開發與稽核部門要依循同一套管理邏輯；標準一致，代表不同專案在風險辨識、審查核准與上線判準上，要有可比較的判讀基準；證據可追溯，則意味企業必須建立清楚的紀錄留存規則，讓未來每一項AI決策、控管行動與調整依據都能被檢查、被驗證，也有利後續工具化與自動化治理。

對企業管理者而言，AI能真正反映在營運數字上才是關鍵。林桂如認為，若想讓AI走向規模化，治理基礎一定得先補齊。完備後才有可能把各種AI應用放進同一套風險管理框架內，逐步推向跨部門擴張，甚至培養出AI優先的營運文化，成為決策支援、流程優化與商業模式創新的長期能力。

就金融業目前的競爭態勢來看，未來的差異化將取決於企業能否把風險分級、控制項設計、生命週期治理與跨部門問責機制整合為可持續運作的治理體系。林桂如強調，唯有治理機制成熟，AI才可能真正進入營運流程，並轉化為可驗證、可管理、可創造商業成果的企業能力。