風險分級系統

風險分級系統是一種源於ISO 31000風險管理原則的結構化方法，用於根據預定義的標準（如對健康、安全或基本權利的潛在影響）對風險進行分類。歐盟於2024年通過的《人工智慧法案》（Regulation (EU) 2024/1689）將此概念應用於AI治理，建立了四個核心風險等級：一、不可接受風險（應被禁止）；二、高風險（須遵守嚴格的合規要求，如風險管理系統、資料治理與技術文件）；三、有限風險（須履行透明度義務，如標示為AI生成內容）；四、最小風險（僅鼓勵遵守自願性行為準則）。此系統在企業風險管理體系中扮演基礎角色，它將抽象的風險轉化為具體的管理層級，使企業能夠採取與風險程度相稱的差異化治理措施，而非採用一體適用的僵化管控，從而實現資源的有效配置。

企業應用風險分級系統通常遵循以下步驟：第一步，建立分類框架。依據歐盟《人工智慧法案》第三章（特別是第6條與附件三）或NIST AI RMF的指引，定義符合自身業務的風險等級與判斷標準，明確考量對基本權利、安全與環境的潛在衝擊。第二步，執行AI系統盤點與分類。全面清查企業內部開發或使用的所有AI系統，根據其預期用途、部署情境與使用者特性，逐一評估並將其歸入相應的風險等級。例如，用於農業機械自動駕駛的安全組件，依據法案附件三即可能被歸類為高風險。第三步，實施與監控差異化管控。根據分類結果，對高風險系統建立法規要求的風險管理系統、資料治理流程與上市後監控計畫；對有限風險系統則確保其使用者介面符合透明度要求。一家大型食品加工廠導入此系統後，將資源集中管理其用於品質檢測的高風險AI，不僅使合規率提升至99%，更因流程標準化使相關審計成本降低了20%。

台灣企業導入風險分級系統主要面臨三大挑戰：一、法規適用性解讀困難。台灣尚無針對AI的專門法規，企業難以將自身AI應用精準對應至歐盟《人工智慧法案》複雜的高風險清單（附件三），常因不確定性而過度保守或疏忽。二、技術文件與資料治理不全。高風險AI系統要求極高的透明度與可追溯性，但許多企業（特別是中小企業）缺乏完整的模型開發、訓練與測試紀錄，難以產出符合法規要求的技術文件。三、缺乏跨領域整合人才。準確的風險分級需要兼具AI技術、法律合規與特定產業知識（如農業、醫療）的專家，台灣此類人才供給不足。為克服挑戰，建議企業成立跨部門的「AI治理委員會」，初期可委託如積穗科研等外部顧問，在90天內協助建立客製化的分類矩陣與評估流程。優先行動項目應是針對外銷歐盟的產品線所涉AI系統進行盤點與分類，並同步展開內部培訓，逐步建立自主治理能力。

積穗科研股份有限公司專注台灣企業風險分級系統相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact