議題觀點
金融業如何與AI共舞
勤業眾信風險管理諮詢股份有限公司 / 劉曉軒執行副總經理、顧佩宜副總經理、彭馨嫻專案副理
隨著金融業應用人工智慧(Artificial Intelligence, AI)的需求與場景不斷擴增,金融機構對於將AI融入整體組織發展戰略蠢蠢欲動,以期提升營運效率、降低成本,並且支援組織內關鍵業務流程的數位轉型。此外,金管會亦已公布「金融業運用人工智慧(AI)之核心原則與相關推動政策」,以風險為基礎,導引金融業運用可信賴AI。
然而,綜觀目前金融服務領域,AI的實際運用仍處於萌芽階段。面對金融科技創新,企業皆須經歷一個學習之旅,並發展對應的風險管理流程與工具,使風險可於組織內的風險文化及風險偏好限度中進行有效識別和管理。
■金融業AI風險管理策略
Deloitte Global就全球金融產業所發布的「AI and risk management:Innovating with confidence」報告指出,金融機構於實務上應用AI之風險包含AI模型演算法風險、科技風險、法令與合規風險、執行風險、人員風險、市場風險及供應商風險。面對這樣的管理課題,建議考量以下四大面向以強化AI風險管理策略:
1、識別(Identify)─透過識別哪些潛在風險會對組織業務策略或營運作業產生重大不利影響,來瞭解並確認風險範圍。此階段應關注內、外部議題,以識別固有風險變化,確保AI風險框架仍然符合組織現況。
2、評估(Assess)─定義風險範圍、風險等級,並嵌入風險評估流程,以準確評估風險暴露水準(Risk exposure level)。由於AI模型通常採敏捷開發模式,惟技術風險管理框架多數是針對傳統瀑布開發模型,因此,以往IT技術開發風險評估框架的流程、政策和管理機制將需要變得更加動態,且提升風險管理職能於AI模型整體開發流程之參與度。
3、控制(Control)─由於AI的應用會對組織整體產生廣泛影響,與AI相關控制可能跨越多個領域(例如人力資源、IT等),組織內的重要利害關係者應參與整體風險管理生命週期並嵌入風險控制框架,將固有風險降低至符合風險偏好之殘餘水準。
此外,營運持續計畫(BCP)亦須更貼合AI特性,以便於AI無法使用時,組織可回復至原先作業流程;應定期對AI模型演算法進行壓力測試,以確保針對嚴重中斷或其他意外事件時具有適當標記(flag)。
4、監控與報告(Monitor and Report)─設計控制環境有效性之評估方法論,其涵蓋衡量有效性之指標、容錯閾值以及控制測試。與AI相關的監管議題以及間接影響AI模型資料之外部事件,亦須密切關注。此外,應具備AI治理權責單位報告殘餘風險情形、控制措施及風險緩解計畫。
■金融機構AI風險之監管趨勢
歐盟、英國及其他全球各地監管機構已發布研究與AI相關指引,金融機構應用AI之風險及影響,儼然成為監管機構最關注的議題。金融機構應瞭解此為一雙向的學習旅程—董事會、高階管理層、業務單位及風險控制職能,皆需增加對AI的瞭解,而AI模型及系統開發單位,則應瞭解相關風險及監管要求。
金融機構應具備此類跨職能團隊,以雙向溝通與合作的方式,便能於金融創新、提高營運效率、監理機構期望之間取得平衡,達成AI風險管理並將AI應用優勢最大化。
(本文已刊登於 2023-11-17 工商時報 A6 名家評論版)