當審計軌跡僅是一套演算法時
【作者】Christopher L. Cook
【資料來源】Corporate Board Member 
【發佈日期】2026年 2月 6日
【介紹者】閻書孝研究員
【審訂者】謝靜慧/本協會前秘書長
【簡介】    

人工智慧（AI）現在是董事會的重大議題，帶來巨大效益但也引發新風險，而且在這兩個方向，都會帶來前所未見的擴大效應。聊天機器人Chat GPT-4在2023年推進AI到企業董事會的議程裡，隨後的兩年企業就進行試點與概念驗證。如今，到了2026年，則進入到多數產業的生產環境中。在上個月的達沃斯論壇，科技領導人強調，我們進入了一個新的階段：具備代理與自主決策能力的AI（agentic AI）系統，不只會協助，還會自主行動。Anthropic執行長Dario Amodei警告，未來幾年非常關鍵，在這些系統演化到超出人類的控制之前，我們需要建立監管與治理的妥善架構。

董事會核准部署AI的速度，超過了監督機制擴展的速度：88％的公司至少會在一項業務功能裡經常使用AI，而且已逐漸成為營運的基本。每個應用的場景都需要相應的治理。董事會至今仍然在追趕，不僅要瞭解AI可以做什麼，也要知道當AI出錯時，會帶來多大的代價。麻塞諸塞州對一家貸款業者以違法使用AI為由開罰250萬美元。Deloitte因AI生成的錯誤而退款給澳洲政府。信諾保險公司（Cigna）則因演算法拒絕超過30萬筆的美國聯邦醫療保險索賠而面臨集體訴訟。

實際發生的遠比新聞標題還多：EY的「責任AI」（Responsible AI）調查發現，99％的組織說有AI相關的財務損失，其中64％超過100萬美元。關於其AI系統如何做決定，大多數董事會都無法回答關鍵的審計問題；而當監理機關要求查看模型如何得出決策時，相關的證據紀錄幾乎是不清楚的。風險範圍之廣的一個指標是：如今有72%標準普爾500（S&P 500）公司在其財務揭露裡將AI標示為重大風險。

問題在於，為何AI的審計軌跡如此難以掌握？作者曾任IBM的副審計長（Deputy Chief Auditor）協助因應AI治理、並在AI道德委員會（AI Ethics Board）評估客戶的應用案例，作者目睹了這個監督缺口持續擴大，同時所有董事會又因為感到競爭壓力，而加快核准部署AI。

審計證據缺口

核心問題在於：傳統審計假定你可以追溯一個決策。但在AI系統中，這通常是不可能的。AI模型每天可以做出數千個決策。某些關鍵決策需要人工簽核，但是這些審核的嚴謹程度差異頗大，而且通常人工審核者只是確認演算法已經做出的決策。AI做出選擇的邏輯存在數百萬筆資料中的統計模型裡，而這些模型甚至連模型開發者本身都難以清楚說明。與傳統流程不同的是，AI就算完全按照設計運作，每次都可能有不同的產出。

這就是AI被貼上「黑箱」標籤的原因：你可以看到輸入與輸出，但是其中的推理過程不明。對審計團隊而言，這意味基本的轉變—從問「流程是否正確執行？」到「這個輸出結果是否在可接受範圍內？」

自主代理型AI的轉折點

治理的挑戰即將加劇。去年董事會所核准的AI系統是輔助型的，提供建議，並由人類執行行動。但現在部署的系統是自主型的，能夠自主行動。上個月在達沃斯論壇，領導人正努力因應這類網路安全專家所稱的，以「機器速度」運作的AI：這些代理自主型AI在沒有人為核准下，會自動執行決策、促發工作流程，並與其他系統互動。

這不是假設性的問題：Salesforce展示了自主代理AI能為會議參與者預訂會議並管理行程，而許多公司正在部署自主代理AI到IT運作、客戶服務以及採購等領域。這進一步擴大了治理的缺口，因為傳統每季的審計節奏跟不上系統的腳步—系統每天都會演進，而且會做出數千個自主化的決策。董事會需要即時監控，而非傳統的定期審查。

監理機關的要求

監理機關已經注意到AI所帶來的新挑戰，並正在著手因應。美國各州在2025年施行了159條AI法規，多於2024年的107條。歐盟AI法從2026年8月2日起開始強制執行對高風險系統的要求，而美國聯邦貿易委員會（FTC）對七家不同公司提出強制命令，要求提供完整的AI審計書面紀錄。在這類積極的監管活動下，審計委員會應該做好接受監理機關提問之準備：

*能否辨識所有已投入生產的AI系統，並標註其風險等級？
*如何驗證模型的準確性及公平性？
*當模型失效或產生偏差的結果時，處理的流程為何？
*當AI做出錯誤決策時，由誰負責？
*如何確保AI決策符合現行規範，像公平貸款或反歧視法律？

逐漸發展的局面是，監理機關希望對AI採取如同財務控制一樣嚴格的標準。好消息是？我們先前就有過類似經驗了。當初沙賓法（Sarbanes-Oxley）推出時也令人卻步，但現在已經成為公司日常運作的一部份。壞消息是？這一次的時間較緊迫。沙賓法讓公司有幾年的緩衝期；歐盟AI法只給幾個月的時間，而FTC正開始發出命令。AI治理將走類似的發展軌跡，但是目前相關的標準還在制定之中，這既是挑戰，也是機會。

審計委員會的監督任務

在大多數組織裡，AI治理通常由審計委員會負責，因為其負責風險、遵循、控制與財務報導等方面的工作。但這不只是審計委員會的職權範圍。

董事會的雙重職責：緩解風險與創造價值

AI治理不只為了避免罰款，而是要釋放公司的長期競爭優勢。具備成熟治理架構的公司，可快速地將AI從試點推向生產，因為風險評估流程與核准工作流程已經到位。董事會同時要監督這兩個面向：

對審計委員會：

1.AI系統盤點與風險分類：要求完全掌握瞭解每個投入生產的AI系統，包括透過第三方工具或瀏覽器輔助程式所部署的系統。要求管理階層對每個應用程式指派明確的風險等級與決策權限。

2.治理架構：延伸現行的變動控制與測試流程以涵蓋AI系統，將其視為更廣泛控制環境的一部份。確保執行長與財務長支持跨部門的問責性，因為AI很少只存在某單一業務部門裡。

3.即時保證：超越季度審計，建立持續性的監控系統，能在演算法偏移（algorithmic drift）或偏見發生時即時發現。要求直接將監控結果報告審計委員會，以便在小問題變成監理問題之前進行干預。

對整個董事會：

1.策略性的AI投資組合：將AI投資與併購、研發決策一起審視，並採同樣的嚴格標準。要求明確的投資報酬率門檻、風險調整後報酬，並對績效不佳的AI措施設定淘汰標準。

2.信任與速度指標：透過客戶信任評分、伙伴信任指標，並比較產業基準的部署速度，追蹤AI治理是加速還是限制業務發展。認識到強健的治理會建立信任，進而促成競爭者無法完成的交易。

3.自主代理型AI的準備度：詢問哪個系統正從輔助型進入自主型、對於自主型決策有什麼防衛機制，以及當監理機關或客戶要求時，組織是否能證明其具備控制能力。讓董事會在下一波AI治理挑戰之前做好準備。

AI治理紅利期的窗口正在關閉

步調並沒有放緩。具備決策能力的自主代理型AI已經出現了，而那些缺乏治理架構又急速推進的公司，會讓利害關係人承擔實質的風險。數百萬美元的和解金與FTC的執法行動顯示，我們正處於AI監管的轉折點上。就像早年沙賓法遵循，在監理機關迫使企業不得不倉促、成本高昂的著手實施之前，那些先將治理納入文化的先行者，就會有更好的表現。現在就採取行動的董事會，在聯邦法規定案、新州法通過，或客戶向FTC申訴時，將能避免手忙腳亂。

作者曾在財星50強（Fortune 50）公司建立審計計畫或治理架構，見證了在監理審查來臨時，那些及早對治理架構基礎設施的投資所帶來的豐厚回報。在AI治理上發揮領導力的董事會，將會發現一些出乎意料的事：成熟的治理不會限制創新—而是加速器。當你向客戶、合作伙伴以及監理機關展現健全的AI治理時，就可以促成競爭者爭取不到的交易。這不是負擔，而是讓你加速前進的安全帶。

【網址連結】
https://boardmember.com/when-the-audit-trail-is-only-an-algorithm/