臺灣IBM發表第一份金融AI治理框架，提出資安治理外的132項在地化AI控制項

玉山銀行是數位金融實務規範工作圈的召集人，這個工作圈的目標之一，就是要建立一套臺灣金融機構的可程式化AI治理框架，包括相關方法論和工具。金管會在2024年6月發布了《金融業運用人工智慧指引》，這些指引大多是原則性的規範，缺乏客觀可量化的評估標準，金融業推動時容易遇到合規舉證的困難，或是不同團隊對相同原則的解讀落差。所以，數位金融實務規範工作圈想要建立一套可以落地執行的AI治理框架，像是不同原則的對應控制措施，量化或質化的評估指標建議等。

去年，玉山銀行找上臺灣IBM聯手訂定這套AI治理框架，以IBM的AI治理框架為藍圖，結合玉山推動智慧金融創新應用經驗，完成了這套本土化的金融AI治理框架。

臺灣IBM諮詢AI暨數據服務業務主管林桂如指出，這是臺灣第一套金融AI治理框架，要將AI監管的法規指引，轉變成可以落地執行的建議。

在這個金融AI治理框架中，提供了一套方法論，針對AI專案的風險量身設計，更貼近AI生命週期流程，提出了AI專案風險管理四大步驟，從評估固有風險、選擇治理控制項、執行治理控制項到評估殘餘風險等步驟。

IBM將AI風險分成11種類型，像是公平性、隱私、穩健性、可解釋性的風險類型等，並按照風險程度分成5個等級，包括了禁止使用，高風險、中風險、低風險和無風險，可供企業針對不同風險高度來採取不同強度的控制項手段，而不是一套做法全面套用。

這套金融AI治理框架中，IBM整理了132結合實務和監管需求的控制項，林桂如補充，IBM排除企業常見資安標準的控制項，提出了針對AI風險的控制項建議，避免AI風險控管和資安風控做法的重疊。這些控制項可透過金融業常用配套技術實施，目前支援多達96種，企業可以自行選擇。

132項AI控制項中，根據實施對象和實施方法，還可以細分成三大類控制項，第一類是與AI治理企業基礎建設相關的企業控制項，來建立AI治理的基礎建設，從企業策略、組織分工、治理流程到變革管理等。這是以企業整體來實施的AI風險對策。

另外還有兩類控制項是AI系統層面來看，包括營運控制項和技術控制項，可以適用到AI系統生命週期的各個階段。

132項AI控制項可分為三大類，企業控制項、營運控制項和技術控制項。(圖片來源：臺灣IBM)

每一個控制項，可以對應到不同的風險類型，更能呼應到金管會的六大AI指引原則。(圖片來源：臺灣IBM)

不過，臺灣《AI 基本法》 在去年底正式發布，數位發展部正在制定臺灣的AI風險管理框架，最快3月底才會完成初稿版本。臺灣IBM的金融AI治理框架，還沒有參考到數發部正在訂定的新版框架，不過，林桂如表示，IBM的金融AI治理框架已有參考臺灣經常借鏡的國際AI規範，再加上也有一套持續修正的PDCA流程設計，等到數發部正式公開新版風險管理框架後，IBM也會盡快迭代更新框架。