能力獲取流程

能力獲取流程（Capability Acquisition Process）是一套源自系統工程與國防工業的結構化管理方法，旨在確保組織能以可控、可預測且符合效益的方式獲得新的作業能力。其核心定義涵蓋從需求分析、方案選擇、系統開發、整合測試到最終部署與維運的完整生命週期。國際標準 ISO/IEC/IEEE 15288:2015（系統與軟體工程—系統生命週期流程）在其條款 6.4.1 中明確定義了「獲取流程」（Acquisition Process），要求組織需建立一套程序來採購或開發滿足利害關係人需求的產品或服務。在AI治理的脈絡下，此流程至關重要，因其提供了一個框架來系統性地評估AI系統的獨特風險，例如演算法偏見、資料隱私、系統可解釋性等。它與一般採購流程的關鍵區別在於，能力獲取更強調技術與組織的深度整合、全生命週期的風險控管，以及是否符合如 NIST AI 風險管理框架（AI RMF 1.0）所倡導的可信賴AI原則。

在企業風險管理中，應用能力獲取流程於AI導入，可確保技術效益與風險控管並行。具體步驟如下： 1. **需求定義與風險盤點**：首先，依據業務策略明確定義所需AI能力，並利用NIST AI RMF等框架，進行全面的風險識別，涵蓋資料來源、模型訓練、部署環境及對人權的潛在影響。此階段需產出包含倫理與合規要求（如台灣個資法第5條的明確目的原則）的能力規格書。 2. **方案評估與盡職調查**：建立包含技術效能、安全性、可解釋性、供應商信譽及成本效益的多元評估矩陣。對潛在的AI供應商或內部開發方案進行嚴格的盡職調查，要求其提供模型訓練資料集、偏見測試報告等證明文件，確保其符合OECD AI原則。 3. **整合驗證與持續監控**：將選定的AI系統整合至現有作業流程後，必須進行嚴格的驗證與確效（V&V），不僅測試功能是否達標，更要驗證其在真實世界場景中的決策是否公平、可靠。部署後應建立持續監控機制，追蹤模型表現與風險指標，確保合規率維持在95%以上，並定期回饋修正。例如，金融機構導入AI信貸審批系統，必須反覆驗證其未對特定族群產生歧視，並通過監管機構的審計。

台灣企業在導入AI能力獲取流程時，主要面臨三大挑戰： 1. **AI專法與監管不確定性**：台灣尚未頒布AI基本法，企業對於合規標準感到模糊。對策是採取「原則導向」的作法，主動遵循國際公認的框架，如歐盟《人工智慧法案》的風險分級概念與ISO/IEC 42001（AI管理系統）標準，建立內部治理機制，將倫理原則轉化為可操作的控制措施。 2. **技術驗證能量不足**：特別是中小企業，普遍缺乏測試AI模型偏見、穩健性與安全性的專業人才與昂貴工具。對策是尋求外部合作，利用國家級法人（如工研院、資策會）提供的AI評測平台與顧問服務，或加入產業聯盟共享資源與最佳實踐。應優先針對高風險應用場景（如醫療、金融）投入驗證資源。 3. **AI供應鏈風險管理複雜**：許多AI能力來自第三方供應商，其模型、資料與演算法的不透明性構成重大風險。對策是建立嚴謹的供應商風險管理程序，要求供應商提供「模型物料清單」（Model Bill of Materials, MBOM），揭露模型關鍵資訊，並在合約中明確訂定資料治理、安全責任與稽核權利。預計導入此類管理機制需要約3至6個月的調適期。

積穗科研股份有限公司專注台灣企業能力獲取流程相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact