Designing Ambidextrous AI Governance for — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出：金融科技業正面臨 AI 創新與合規風險的雙重壓力——2025 年一項最新學術研究提出「雙元 AI 治理框架」，以 COBIT 2019 為基礎，將探索式創新與剝削式風控整合為五層治理架構，並驗證可顯著提升金融機構的 ISO 42001 治理成熟度，同時符合 EU AI Act 及台灣 AI 基本法要求，為台灣金融科技與企業主管提供立即可行的 AI 治理路徑。

關於作者與這項研究

這篇論文由三位來自印尼學術界的研究者共同完成。第一作者 Merryana Lestari（h-index: 1，累計引用 6 次）專注於金融科技數位轉型與 AI 治理領域，是這一新興議題的積極研究者。通訊作者 Agustinus Fritz Wijaya（h-index: 12，累計引用 459 次）是資訊系統治理與 COBIT 框架應用的重要學者，在東南亞資訊治理研究圈具有相當影響力，其研究成果廣泛被學術界與實務界引用。第三作者 Maria Ayu Puspita 則在金融科技合規領域有深入研究。

這篇論文於 2025 年發表於 OpenAlex AI Governance 期刊，採用設計科學研究方法（Design Science Research），結合文獻回顧、專家驗證與受控金融科技環境模擬，為研究的嚴謹性提供了多層次保障。發表後已獲引用 1 次，顯示學術界對此框架的初步關注。對台灣企業主管而言，此研究的價值不在引用數，而在於它系統性整合了 COBIT 2019、ISO/IEC 42001、EU AI Act 與東南亞 OJK 金融監理指引，提供了一個跨地區、可擴展的 AI 治理藍圖。

雙元 AI 治理：同時駕馭創新與風控的五層架構

這項研究的核心問題是：金融科技企業如何在積極擁抱 AI 創新的同時，不因治理失靈而承擔倫理、安全與合規風險？研究者提出的答案是「雙元 AI 治理框架」（Ambidextrous AI Governance Framework）——一個讓企業同時具備探索新機會與管控既有風險的能力。

核心發現一：五層治理架構，讓創新與合規不再對立

研究者設計了五個相互整合的治理層次：①治理層（Governance Layer）確立 AI 決策的最高問責機制；②策略對齊層（Strategic Alignment Layer）確保 AI 計畫與企業目標一致；③雙元核心層（Ambidextrous Layer）同時運行探索式創新（agility、ethics by design）與剝削式效率（risk control、compliance）；④運營層（Operational Layer）負責 AI 日常管理與監控；⑤合規與保證層（Compliance & Assurance Layer）對接 ISO/IEC 42001、EU AI Act 等國際標準。模擬驗證結果顯示，這個框架能有效提升組織在 COBIT 2019 各領域的治理成熟度，並將透明度、問責制與公平性等可信賴 AI 原則嵌入日常運營流程。

核心發現二：COBIT 2019 是 AI 治理成熟度的關鍵槓桿

研究明確指出，單純的倫理宣示或政策文件不足以建立有效的 AI 治理。必須將 AI 風險管理嵌入既有的企業治理框架——特別是 COBIT 2019 的治理與管理目標群組——才能讓 AI 治理從紙上文件變成可量化、可稽核的制度能力。這對正在推動 ISO 42001 認證的台灣企業尤其重要：ISO 42001 與 COBIT 2019 在問責結構、風險管理流程與績效監控上高度互補，雙軌並行可大幅縮短認證準備期。

對台灣 AI 治理實務的意義：三個框架缺一不可

台灣企業正同時面對三股治理壓力，而這篇論文的框架設計恰好提供了整合應對的路徑。

ISO 42001 認證壓力：ISO/IEC 42001 是全球首個 AI 管理系統標準，2023 年正式發布，台灣已有企業開始備戰認證。這篇研究的五層框架與 ISO 42001 的七大要素（組織情境、領導力、規劃、支援、運營、績效評估、改善）高度對應，可作為認證準備的實務藍圖。

EU AI Act 合規壓力：EU AI Act 於 2024 年正式生效，分階段要求高風險 AI 系統進行風險分級評估、透明度揭露與人機監督機制。任何與歐盟市場有業務往來的台灣企業——包括金融、製造、醫療、電商——都必須提前布局。本研究的合規與保證層直接對應 EU AI Act 的風險分類邏輯，提供可操作的制度設計參考。

台灣 AI 基本法壓力：台灣《人工智慧基本法》草案已進入立法程序，預計將確立 AI 應用的倫理原則、風險管理義務與政府監理框架。本研究強調的透明度、問責制與公平性三大可信賴 AI 原則，與台灣 AI 基本法的核心精神完全一致。企業現在建立這些能力，就是為未來的法定義務預先鋪路。

積穗科研如何協助台灣企業建立雙元 AI 治理能力

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業建立符合 ISO 42001 與 EU AI Act 要求的 AI 管理系統，進行 AI 風險分級評估，確保人工智慧應用符合台灣 AI 基本法規範。根據本篇研究的框架洞見，我們建議台灣企業採取以下三步行動：

1. 啟動 AI 治理現況雙元診斷：對照雙元治理框架的五個層次，評估貴公司 AI 應用在「探索式創新」與「剝削式風控」兩個維度的現有能力缺口，同時對照 ISO 42001 七大要素進行差距分析，確定優先補強區域。
2. 建立 AI 風險分級機制：依據 EU AI Act 的四級風險分類（不可接受風險、高風險、有限風險、最低風險），對企業所有 AI 應用場景進行系統性盤點與風險定級，並為高風險 AI 系統設計透明度揭露、人機監督與問責追蹤機制。
3. 導入 COBIT 2019 強化 ISO 42001 治理成熟度：將 AI 風險管理嵌入 COBIT 2019 的治理目標群組（EDM、APO、BAI、DSS、MEA），建立可量化的 AI 治理績效指標，確保 ISO 42001 認證不只是取得證書，而是形成可持續的制度能力。

常見問題

金融科技業導入雙元 AI 治理框架，最難突破的是哪一層？

最難突破的通常是「雙元核心層」——要讓同一個組織同時支持快速創新實驗（探索）與嚴格風控合規（剝削），需要跨部門的文化轉變與制度設計。許多金融機構習慣將創新部門與風控部門分割，導致 AI 治理形成兩套並行但不相通的邏輯。本研究建議透過統一的治理委員會、共用風險評估框架與跨部門的 AI 倫理審查機制來化解這個矛盾。積穗科研可協助企業設計具體的跨部門治理運作流程。

台灣企業最常問的 EU AI Act 合規問題是什麼？

最常見的問題是「我的 AI 系統算不算高風險？」EU AI Act 將 AI 系統分為四個風險等級，其中高風險類別涵蓋信用評分、招募篩選、關鍵基礎設施管理、醫療診斷等場景。台灣金融科技業常用的 AI 信用評分、反詐騙偵測系統，很可能落入高風險類別，需符合透明度揭露、人機監督、資料治理與技術文件化等要求。建議企業立即進行 AI 應用盤點，對照 EU AI Act 附件三的高風險清單逐項確認。

ISO 42001 認證對台灣企業有什麼具體要求，與 EU AI Act 如何搭配？

ISO/IEC 42001 是 AI 管理系統標準，要求組織建立明確的 AI 政策、風險評估流程、角色責任分工與持續改善機制。EU AI Act 則是法規要求，側重高風險 AI 系統的技術與程序性合規。兩者互補：ISO 42001 提供管理系統的架構與持續改善邏輯，EU AI Act 提供特定應用場景的硬性要求。取得 ISO 42001 認證的企業，在滿足 EU AI Act 的文件化要求與風險管理流程方面，往往有顯著的先發優勢。台灣 AI 基本法草案的原則導向規範，也與 ISO 42001 的精神高度吻合。

從零開始建立 AI 治理機制，大概需要多少時間與步驟？

根據積穗科研的實務經驗，台灣中型企業（500 人以下）從現況診斷到初步機制建立，通常需要 90 至 120 天：第 1-30 天進行現況診斷與 ISO 42001 差距分析；第 31-60 天設計 AI 治理政策、風險分級清單與問責架構；第 61-90 天完成核心流程導入、人員培訓與監控指標建立；第 91-120 天執行內部稽核與改善，為正式認證評估做準備。大型企業或 AI 應用場景複雜的金融機構，通常需要 6 至 12 個月。越早啟動，認證成本越低。

為什麼找積穗科研協助 AI 治理相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 42001 導入實務、EU AI Act 合規分析與 COBIT 治理框架整合能力的顧問機構。我們不提供通用範本，而是根據每家企業的 AI 應用現況、產業監理環境與組織成熟度，客製化設計可落地的治理機制。我們持續追蹤全球最新 AI 治理學術研究（如本篇論文）與法規動態，確保台灣企業接收到的建議始終與國際標準同步，而非落後一個世代。我們提供免費機制診斷，讓企業在零風險前提下評估合作價值。