盤點與高風險分級評估

「盤點與高風險分級評估」是源於歐盟《人工智慧法》（EU AI Act）等風險基礎法規的核心要求。此程序分為兩階段：首先，「盤點」是系統性地清查並建立組織內所有開發、採購或使用的AI系統清冊，記錄其功能與應用情境。其次，「高風險分級評估」則是根據AI Act第六條與附件三所列的八大領域（如生物辨識、關鍵基礎設施管理、教育、就業等），逐一評估清冊中的系統是否落入「高風險」類別。此評估是AI治理的起點，其結果直接決定該系統是否需要遵守如建置風險管理系統（ISO/IEC 42001可作為實踐框架）、進行合格評定、確保人類監督等嚴格的法律義務。它與一般IT資產盤點的關鍵區別在於，其評估焦點並非技術本身，而是AI系統的「預期用途」對個人基本權利、健康與安全的潛在衝擊。

在企業風險管理中，導入此評估需遵循以下三大步驟：第一，**成立跨職能工作小組並建立AI系統清冊**。由法務、IT、資料科學與業務單位組成團隊，全面盤點組織內所有AI應用，記錄其目的、資料來源、決策模型與影響範圍，此步驟與NIST AI風險管理框架（AI RMF）中的「盤查（Map）」階段目標一致。第二，**依據法規標準進行風險分級**。工作小組需依據歐盟AI法案附件三的具體標準，對清冊中的每個系統進行逐項篩選，判斷其是否屬於高風險應用。例如，用於招聘決策的人資系統即可能被歸類為高風險。第三，**文件化評估結果並動態維護**。將分級結果、判斷依據與理由詳實記錄，形成「高風險AI系統清單」並定期審查。此文件是向主管機關證明的關鍵合規證據。透過此流程，企業可將合規資源有效集中，預期能提升審計通過率達95%以上，並將因不合規導致的潛在罰款風險降低超過80%。

台灣企業導入此評估主要面臨三大挑戰： 1. **法規認知落差與動力不足**：許多企業，特別是中小企業，低估了歐盟《人工智慧法》的域外效力，誤認其不適用於台灣業務，導致缺乏執行盤點的急迫性。 2. **AI系統定義模糊**：企業內部對於「何謂AI系統」缺乏統一標準，常將傳統統計模型或自動化腳本誤判為AI，導致盤點範圍失焦，耗費不必要的資源。 3. **跨部門協作困難**：AI盤點需IT、法務、業務單位緊密合作，但普遍存在部門壁壘，權責劃分不清，導致資訊收集不全，風險評估失準。 **對策**： - **克服認知落差**：應由法務或合規部門主導，在90天內完成法規影響性評估，並向高階管理層進行專案報告，強調其對出口業務的直接衝擊。 - **統一內部標準**：應立即採納國際標準（如ISO/IEC 22989）或歐盟AI法案中對AI系統的官方定義，作為內部盤點的唯一基準。 - **建立治理單位**：應在6個月內成立由高階主管領導的「AI治理委員會」，明確各部門在盤點與評估中的角色與責任，建立常態化的協作與審查機制。

積穗科研股份有限公司專注台灣企業盤點與高風險分級評估相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact