美国财政部为金融服务业发布了多份文件,建议采取结构化方法来管理运营和政策中的人工智能风险。这份由关键基础设施伙伴关系(Critical Infrastructure Partnership)金融服务业人工智能风险管理框架(FS AI RMF)附带了一份指南,详细介绍了该框架的细节。该框架由100多家金融机构和行业组织合作开发,并吸取了监管机构和技术机构的意见。FS AI RMF的目标是帮助金融机构识别、评估、管理和治理与AI系统相关的风险,并使企业能够持续负责任地采用AI技术。
针对特定行业的框架
AI系统引入了现有技术治理框架未能解决的风险。这些风险包括算法偏见、决策过程透明度有限、网络安全漏洞以及系统和数据之间复杂的依赖性。大型语言模型(LLM)也引发了关注,因为其行为可能难以解释或预测。与确定性的传统软件不同,AI的输出会根据上下文而变化。
金融机构已经在广泛的监管下运营,并且已有大量通用指南,如美国国家标准与技术研究院(NIST)的AI风险管理框架。然而,将通用框架应用于金融机构的运营,缺乏反映行业实践和监管期望的细节。FS AI RMF被定位为NIST框架的扩展,在其页面中增加了针对特定行业的控制措施和实际实施指南。该指南解释了公司如何评估其当前的AI成熟度并实施控制措施以限制风险。其目标是促进行业中一致且负责任的AI实践,并支持创新。
核心结构
FS AI RMF将AI治理与金融机构已有的更广泛的治理、风险和合规流程相连接。该框架包含四个主要组成部分:
- AI采用阶段问卷:让组织确定其AI应用的成熟度。
- 风险与控制矩阵:包含一套与采用阶段相对应的风险陈述和控制目标。
指南解释了如何应用该框架,而一份单独的控制目标参考指南则提供了控制措施和支持性证据的示例。该框架根据NIST AI风险管理框架调整了四大功能,共定义了230项控制目标:治理、映射、衡量和管理。每个功能都包含描述有效AI风险管理和治理要素的类别和子类别。
评估AI成熟度
采用阶段问卷用于确定组织使用AI的程度。例如,一些公司在有限应用中依赖传统预测模型,而另一些公司在核心业务流程中部署AI;还有一些公司仅在面向客户的场景中使用AI。该问卷通过评估AI的业务影响、治理安排、部署模式、第三方AI提供商的使用、组织目标和数据敏感性等因素,帮助组织确定其目前在AI应用谱系中所处的位置。
基于此评估,组织被划分为四个AI采用阶段:
- 初始阶段:几乎没有或没有运营级AI部署的组织。AI可能正在考虑中,但尚未嵌入。
- 最低阶段:在低风险领域或孤立系统中有限使用AI。
- 演进阶段:运行更复杂AI系统的组织,包括涉及敏感数据或外部服务的应用。
- 嵌入式阶段:AI在业务运营和决策中扮演重要角色的组织。
这些阶段帮助机构将精力集中在适合其成熟度水平的控制措施上。处于早期阶段的公司无需立即实施所有控制措施,但随着AI的进一步整合,框架会引入额外的控制措施来应对日益增长的风险水平。
风险与控制
针对每个AI采用阶段的控制目标涉及治理和运营主题,包括数据质量管理、公平性与偏见监控、网络安全控制、AI决策过程透明度以及运营韧性。该指南提供了可能的控制措施示例以及机构可用于证明其合规性的证据类型。每个公司必须确定最适合自身的控制措施。
该框架建议维护针对AI系统的事件响应程序,并建立一个用于跟踪AI事件的中央存储库,这些流程将帮助组织随时间推移发现故障并改进治理。
可信赖的AI
该框架纳入了可信赖AI的原则,定义为有效性和可靠性、安全性、安全与韧性、问责制、透明度、可解释性、隐私保护和公平性。这些为在整个生命周期内评估AI系统提供了基础。简而言之,金融机构必须确保AI输出的可靠性,系统受到保护以防网络威胁,并且在决策影响客户或具有监管相关性时,能够对其做出解释。
战略意义
对于任何国家的金融机构高层领导而言,FS AI RMF提供了将AI整合到现有风险管理框架中的指南。它指出了组织内不同业务部门协调的必要性。技术团队、风险官、合规专家和业务部门都需要参与AI治理过程。
在不加强治理结构的情况下采用AI,可能会使机构面临运营故障、监管审查或声誉损害。相反,建立清晰治理流程的公司将更有信心部署AI系统。该指南将AI风险管理视为一个不断发展的实体。随着AI技术的发展和监管期望的变化,机构需要相应地更新其治理实践和风险评估。
对于金融行业的决策者而言,其核心信息是:AI的采用必须与风险治理同步推进。像FS AI RMF这样的结构化框架为管理这一演进过程提供了共同的语言和方法。FINISHED
