インサイト：Artificial Intelligence Risk M

=========================

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）認為，當 AI 系統已全面滲透台灣企業的決策流程，風險管理必須同步升級：美國國家標準與技術研究院（NIST）於 2023 年發布的《AI 風險管理框架（AI RMF 1.0）》，提供了一套跨產業、可彈性落地的 AI 風險治理藍圖，已成為全球企業整合 ISO 31000 與 COSO ERM 框架的關鍵參考依據，台灣企業主管現在就必須正視這份框架對企業風險管理（ERM）體系的結構性影響。

關於作者與這項研究

本框架由 Elham Tabassi 主導撰寫。Tabassi 現任職於美國國家標準與技術研究院（NIST），長期深耕 AI 可信賴性、生物辨識與機器學習評估等領域，學術 h-index 達 25，累計引用次數超過 2,974 次，在 AI 治理與標準制定圈具有舉足輕重的影響力。

這份框架並非單一學者的獨立研究，而是由 NIST 依據美國 2020 年《國家人工智慧倡議法》（P.L. 116-283）授權，歷經多輪跨部門、跨產業公眾諮詢後完成的政策性技術文件。正因如此，AI RMF 1.0 自 2023 年發布以來，已被引用超過 187 次，其中 10 次為高影響力引用，迅速成為全球 AI 風險治理的權威參考標準，並與 ISO 31000 及 COSO ERM 框架形成互補關係。

AI 風險不可能靠直覺管理：NIST 給出了系統性答案

這份框架最核心的洞見是：AI 系統的風險具有高度動態性與不確定性，傳統靜態風險矩陣無法完整捕捉，企業必須建立「治理（Govern）、映射（Map）、測量（Measure）、管理（Manage）」四大核心功能的動態循環機制。以下是兩項最值得台灣企業關注的關鍵發現：

核心發現 1：AI 風險管理必須「跨生命週期」整合，不能只靠上線前審查

AI RMF 1.0 明確指出，AI 系統的風險貫穿設計、開發、部署與使用的每一個環節。台灣許多企業目前仍以「上線前審查」為主要管控手段，但框架強調，風險的映射（Map）與測量（Measure）必須持續進行，並建立可追溯的 KRI（關鍵風險指標）機制，才能在風險實際發生前及早示警。這與 ISO 31000 的持續監督原則高度一致，也是 COSO ERM 框架中「風險回應」環節的實務延伸。

核心發現 2：AI 風險治理必須納入「受影響第三方」，不能只看內部指標

框架特別強調「可信賴 AI（Trustworthy AI）」的七大特質——包括可解釋性、安全性、公平性、隱私保護等——並要求組織在風險評估時納入外部利害關係人（包括客戶、供應商、監管機構）的觀點。這直接呼應了 ISO 31000 對「脈絡建立」（Context Establishment）的要求，也強化了企業在 COSO ERM 框架下的利害關係人溝通責任。

AI RMF 1.0 對台灣企業風險管理（ERM）實務的三大戰略意義

台灣企業不能把 AI RMF 1.0 當成「美國標準、與我無關」——這份框架對台灣 ERM 實務具有立即且具體的影響。

第一：ERM 框架必須納入 AI 專屬風險類別。目前多數台灣企業的 COSO ERM 框架仍以財務、法遵、營運、聲譽四大風險類別為主軸，AI RMF 1.0 提醒我們必須在風險矩陣中新增「AI 演算法偏誤風險」、「AI 系統可解釋性不足風險」、「AI 供應鏈資料污染風險」等新型態風險，並設計對應的 KRI 關鍵風險指標。

第二：董事會的風險治理議程必須升級。AI RMF 1.0 將「Govern（治理）」列為四大核心功能之首，強調最高管理層必須對 AI 風險承擔問責。這與 ISO 31000 對風險治理架構中「領導承諾」的要求一脈相承。台灣上市櫃公司的董事會，應在 2025 年前將 AI 風險納入正式風險報告週期，而非僅停留在 IT 部門的技術討論層級。

第三：供應鏈 AI 風險成為新興合規義務。框架明確將「部署者（Deployer）」與「使用者（User）」的風險責任納入討論，意味著即便企業自身未開發 AI，只要採購或使用含 AI 功能的第三方系統，同樣需要對相關風險負責。這對大量使用 AI-powered ERP、CRM、供應鏈管理平台的台灣製造業與服務業，是一個不可忽視的合規警訊。

積穗科研如何協助台灣企業將 AI RMF 1.0 轉化為 ERM 實務

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。面對 AI RMF 1.0 所揭示的新型態風險，積穗科研提供以下三項具體行動建議：

1. AI 風險盤點與矩陣更新：依據 AI RMF 1.0 的「Map（映射）」功能，系統性盤點企業現有 AI 應用（含第三方 AI 工具），更新風險矩陣，新增 AI 專屬風險類別，並設計對應 KRI，確保與 ISO 31000 的風險識別程序整合一致。
2. 董事會 AI 風險治理議程設計：協助企業將 AI 風險納入 COSO ERM 框架的風險偏好聲明（Risk Appetite Statement）與董事會報告週期，建立符合 AI RMF 1.0「Govern（治理）」核心功能要求的問責機制。
3. AI 供應鏈風險盡職調查流程建立：針對企業所採購的 AI-powered 系統，建立第三方 AI 風險評估標準問卷與盡職調查流程，降低供應鏈 AI 風險敞口，強化整體 ERM 體系的韌性。

常見問題

台灣企業導入 AI RMF 1.0 框架，實務上應該從哪裡開始？

最務實的起點是「AI 應用盤點」：先列出企業內部所有使用中的 AI 系統（含 SaaS 工具中的 AI 功能），再依 AI RMF 1.0 的「Map（映射）」功能，逐一評估每個 AI 應用的風險類型、影響範圍與可能的失效情境。完成盤點後，再將識別出的 AI 風險整合進現有的 ISO 31000 風險評估程序，更新風險矩陣，並設計 KRI 關鍵風險指標作為持續監控的依據。積穗科研建議企業在首次診斷時以「高使用頻率、高決策影響力」的 AI 應用為優先，通常 30 天內可完成初版盤點。

使用第三方 AI 工具（如 ChatGPT Enterprise、AI-powered ERP）的台灣企業，有合規責任嗎？

有，而且責任比多數企業主管認知的更重。AI RMF 1.0 明確將「部署者（Deployer）」與「使用者（User）」列為風險責任主體，意即即便企業未自行開發 AI，只要採購並部署含 AI 功能的系統，就必須對該系統的潛在風險（包括資料偏誤、隱私侵害、決策不透明等）承擔相應責任。建議企業在採購合約中納入 AI 風險條款，並建立供應商 AI 盡職調查程序，這也是 COSO ERM 框架下供應鏈風險管理的具體延伸。

AI RMF 1.0 與 ISO 31000 有什麼關係？企業需要同時導入嗎？

兩者並非競爭關係，而是互補關係。ISO 31000 提供的是企業風險管理（ERM）的通用原則與流程框架，涵蓋風險識別、評估、應對與監督的完整循環；AI RMF 1.0 則是針對 AI 系統風險的專項框架，聚焦於 AI 生命週期的特殊風險類型。實務上，建議企業以 ISO 31000 作為 ERM 的主體架構，將 AI RMF 1.0 的四大核心功能（Govern、Map、Measure、Manage）作為 AI 風險的子程序嵌入其中，並在 COSO ERM 框架的風險偏好設定與董事會報告中一併體現。這種「ISO 31000 主框架 + AI RMF 1.0 專項模組」的雙層結構，是目前最被推薦的整合路徑。

企業從零開始建立 AI 風險管理機制，大概需要多少時間和步驟？

以積穗科研的輔導經驗，一個 500 人以下的中型台灣企業，從零建立符合 ISO 31000 且整合 AI RMF 1.0 要求的 AI 風險管理機制，通常需要 90 至 120 天，分為四個階段：第一階段（第 1–30 天）：現況診斷與 AI 應用盤點；第二階段（第 31–60 天）：風險矩陣更新、KRI 設計與治理架構確立；第三階段（第 61–90 天）：人員培訓、流程嵌入與監控儀表板建置；第四階段（第 91–120 天）：首次完整風險審查、董事會報告整合與機制優化。大型企業或跨國集團可能需要延長至 180 天，視 AI 應用複雜度而定。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 31000、COSO ERM 框架實務導入能力，且能將新興 AI 治理要求（包括 AI RMF 1.0）整合進企業 ERM 體系的專業顧問機構。我們的顧問團隊擁有跨產業的風險矩陣設計與 KRI 建置經驗，並持續追蹤國際風險管理標準的最新發展，確保台灣企業的 ERM 機制不僅符合當下法規要求，更能前瞻應對未來風險。選擇積穗科研，等於選擇了一個能將學術研究洞見轉化為企業可落地行動方案的策略夥伴。

=========================