【資料來源】PR Newswire 
【發佈日期】2026年 2月 23日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

特雷德韋委員會的贊助組織委員會（Committee of Sponsoring Organizations of the Treadway Commission, COSO）在2月23日發表新刊物―《達成對於生成式AI有效的內部控制》(Achieving Effective Internal Control Over Generative AI (GenAI))，提供各組織一個實用、與COSO對齊的方法，以便管理快速進展的生成式AI技術所帶來的風險和機會。

生成式AI正進入董事會與日常營運，速度遠超過傳統治理模式所預期。各組織已經啟用AI工具自動對帳、加速分析及支援決策，其規模足以壓縮時間軸並重塑工作流程。這種快速採行帶來了新等級的風險―從網路曝險升高與基於提示的操縱(prompt-based manipulation)，到模糊不清的推理、模型飄移以及頻繁的組態(configuration)改變―若沒有以健全的內部控制來因應可能會危及營運、報導與遵循之完整性。

COSO的執行委員與主席Lucia Wind說：「生成式AI正在改變組織運作的型態、決策以及管理資訊的方式。快速採行帶來巨大潛能，但也帶來新一輪的風險，需要嚴謹監督。COSO內部控制整合架構(Internal Control–Integrated Framework)給予組織一個明確、經證明有效的結構得以確保生成式AI係負責任地導入，並且具備支持可靠的運作、報導和遵循所需的嚴謹性。」

這份刊物是建立在COSO早期思想的領導著作《實現人工智慧的全部潛能》(Realize the Full Potential of Artificial Intelligence)，接受COSO委託並且由亞歷桑納州立大學的Scott Emett、杜伊斯堡-埃森大學的Marc Eulerich、安永(Ernst & Young)的Jason Guthrie、Meta的Jason Pikoos以及楊百翰大學的David A. Wood共同撰寫，將COSO的內部控制整合架構(Internal Control–Integrated Framework, ICIF)轉化為替生成式AI量身訂做的具體內控實務。

該出版品並沒有提出新的治理模式，而是調整COSO‑ICIF的五個組成要素―控制環境、風險評估、控制活動、資訊與溝通以及監控活動―成為專屬生成式AI的實務。它設計用來提供給負責AI流程部署和監督的專業人士，包括： 

*管理與營運團隊
*遵循與風險管理團隊
*會計長與財務報導小組
*資訊科技治理與資訊安全
*董事會功能性委員會與監督機關
*外部會計師(評估生成式AI相關控制)
*內部稽核部門

該報告引入了幾個新的元素以協助組織落實生成式AI的治理：

*能力優先的分類法：生成式AI使用的案例組成八個能力類型—吸收、轉換、發文、編排、判斷、監控、監理情報以及人機(AI)互動—每種類型都有專門設計的控制考量，反映從資料到決策的生命週期，生成式AI風險所表現的方式。
*準備接受審計的控制比對：每個能力都包含範例、符合COSO所有五元素的最低控制預期，以及支持營運監控及審計證據蒐集的說明指標。
*實際實施成果：入門者的範本，包括風險評估矩陣、控制測試程序以及指標儀表板，協助組織加速落實以及縮短價值實現的時間。

作者David Wood說：「生成式AI帶來的風險會隨著技術本身的發展快速演變。藉由將GenAI治理紮根在COSO既定的內部控制原則之上，組織可以建立適應力強以並且讓審計就緒的制度。」

該出版品強調，雖然生成式AI改變資訊的生成、處理以及作用方式，但是它沒有改變內部控制的根本目的：協助組織可靠地達成其目標。相反地，生成式AI要求組織以更新過後的嚴謹、明確與可追溯性來應用COSO原則。

Wind補充說：「生成式AI可能會理直氣壯地犯錯、易於操縱，或部署在正式監督管道之外。此指引會協助組織強化其內部控制環境，以至於在利用生成式AI效益的同時管理其特殊風險。」

【網址連結】
https://www.prnewswire.com/news-releases/coso-releases-practical-roadmap-for-managing-generative-ai-risks-and-controls-302694327.html

要瞭解更多資訊、或下載Achieving Effective Internal Control Over Generative AI (GenAI)，可至：https://www.coso.org/