固有風險

固有風險（Inherent Risk）是風險管理的核心概念，指在組織尚未實施任何內部控制、應對措施或風險緩解策略之前，某項活動或流程本身所存在的原始風險水平。其評估通常基於風險事件發生的可能性（Likelihood）及其潛在衝擊（Impact）的乘積。在AI治理領域，根據NIST AI風險管理框架（AI RMF 1.0）的指導原則，固有風險體現於AI模型未經干預時可能產生的偏見、不透明性、安全漏洞或不公平決策。例如，一個用於信貸審批的AI模型，其固有風險可能來自訓練數據中存在的歷史性別或種族偏見。它與「剩餘風險」（Residual Risk）相對，後者是實施控制措施後所剩餘的風險。準確評估固有風險是設計有效控制措施、合理分配資源以將風險降低至可接受水平（Risk Appetite）的第一步，也是整個風險管理生命週期的基礎。

企業應用固有風險評估於AI治理時，通常遵循以下步驟：第一，進行「風險識別與情境建立」，全面盤點AI系統（如：自動化招聘工具）在數據、模型、部署等環節的潛在風險，例如訓練數據可能包含性別偏見。第二，執行「固有風險評估」，在不考慮任何控制措施（如公平性演算法）的前提下，評估偏見導致歧視性招聘決策的可能性與對公司商譽、法律合規的衝擊，並在風險矩陣上標示其等級。第三，基於評估結果進行「控制措施設計」，針對高固有風險項目，決定應採取的緩解措施，如引入NIST AI RMF中的偏見緩解技術。一家台灣金融機構在導入AI信貸模型時，透過評估固有風險，發現模型對特定客群存在歧視性，因而投入資源進行數據平衡與模型調整，最終將偏誤率降低了15%，並順利通過監管機構的AI倫理審查，確保了業務的合規性與公平性。

台灣企業在評估AI固有風險時，主要面臨三大挑戰：一、「數據品質與可用性不足」，許多訓練數據存在偏誤或不完整，難以真實反映風險；二、「跨領域專業人才匱乏」，同時精通AI技術、法規與倫理的專家難尋；三、「評估標準與工具模糊」，對於公平性、可解釋性等新興風險，缺乏公認的量化指標。為克服這些挑戰，建議採取以下對策：首先，應「強化數據治理」，建立數據品質檢核流程，並考慮採用合成數據技術彌補數據缺口，此為首要行動，預計需6個月。其次，「組建多元化AI治理團隊」，納入法務、業務及技術人員，共同定義風險評估標準。最後，應「導入國際框架」，參考NIST AI RMF指引建立內部評估方法論，並試點導入可解釋性AI工具，以提升評估的客觀性與一致性，預計時程3至6個月。

積穗科研股份有限公司專注台灣企業inherent risks相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact