快速行动，但不要打破东西：如何平衡负责的AI采用和创新

根据麦肯锡最近的一项全球调查，尽管78%的组织现在在至少一个业务功能中使用AI，但只有13%的组织聘请了AI合规专家，而只有6%的组织拥有AI伦理专家。

这简直是鲁莽的行为。

虽然我过去曾经是“快速行动，打破东西”的硅谷精神的坚定拥护者，但我们不能对AI这样一种比我们以前见过的任何东西都更强大的技术如此随意。这种技术正在以光速增长，我们不能对其采取如此草率的态度。

采用AI而不采取任何有意义的防护措施，正是会最终导致灾难性后果的快速行动和抄近路。只需要一次AI偏见或滥用的事件，就足以毁掉多年来建立的品牌声誉。

虽然许多CIO和CTO意识到了这些风险，但他们似乎认为监管机构最终会介入并拯救他们免于建立自己的框架，导致他们只是谈论风险而没有采取任何实际的监督措施。

虽然我毫无疑问监管机构最终会介入，但我不确定他们何时会这样做。ChatGPT大约三年前推出，我们才刚刚开始看到像参议院司法委员会关于聊天机器人安全风险的会议等事情发生。现实是，可能需要几年时间才能看到任何有意义的监管措施。

因此，企业不应该以此为借口拖延内部治理，而应该采取更积极的态度。尤其是当监管机构最终介入时，没有自己的框架的公司将不得不仓促地改造以符合监管要求。这正是GDPR和CCPA颁布时发生的事情。

就像早期的创业公司现在已经成长为科技巨头一样，我们也必须在采用AI的过程中成熟起来。我们不能对AI采取如此随意的态度，因为它是一种比我们以前见过的任何东西都更强大的技术。

没有“买现在，后付”这样的负责AI部署 – 立即开始

采取更负责的AI方法的第一步是停止等待监管机构并制定自己的规则。您今天可能认为自己通过避免安全措施获得的领先优势，最终只会在未来以非常昂贵和破坏性的方式让您付出代价，当您面临改造以符合监管要求的过程时。

当然，对于许多人来说，问题在于不知道从哪里开始。我的公司最近对500位大型企业的CIO和CTO进行了调查，近半数（48%）的人认为“确定什么是AI的负责使用或部署”是确保AI使用的伦理挑战。

一个简单的开始方法是，将您的关注点扩展到AI可能带来的功能之外，考虑可能的风险。例如，虽然AI的使用可能会为员工节省时间，但也会使大量的个人可识别信息（PII）数据或商业秘密与未经许可和未经批准的LLM共享。

任何数字公司今天都熟悉软件开发生命周期（SDLC），它为构建质量产品提供了一个框架。AI治理最佳实践应该嵌入到日常工作流中，以确保负责任的决策成为日常工作的一部分，而不是事后补救。一个治理机构，例如伦理委员会或治理委员会，应该被建立起来，以定义AI应用程序在组织内的标准，并定义监控和维护该标准的指标。从功能上讲，这看起来像AI工具和模型治理、解决方案批准、风险管理、法规和标准对齐以及透明的沟通。虽然从技术上讲这可能是一个“新”的过程，但它与数据最佳实践和维护网络安全并没有太大的不同，可以自动化以确保早期发现任何问题。

当然，并非所有风险都需要同等程度的关注，因此，开发一个分级风险管理流程也是非常重要的，以便您的团队可以专注于高优先级的任务。最终，内部和外部的治理实践的清晰和透明的沟通是至关重要的。这包括维护治理标准的活文档，并为团队提供持续的培训以保持更新。

停止将治理视为创新威胁

可能真正威胁到负责AI的最大威胁是，人们认为治理和创新是相互对立的。我们的调查数据显示，87%的CIO和CTO认为过多的监管会限制创新。

但是，治理应该被视为战略伙伴，而不是某种创新刹车。治理经常被视为一种阻碍创新势头的力量，因为它通常在产品开发的最后阶段被考虑，但安全措施应该是过程的一部分。正如上面提到的，治理可以嵌入到冲刺周期中，以便产品团队可以快速移动，同时自动检查公平性、偏见和合规性。长期来看，当客户、员工和监管机构看到责任感从一开始就被构建时，他们会更加自信。

这已经被证明可以带来财务回报。研究表明，拥有良好实施的数据和AI治理框架的组织，财务表现会有21-49%的改善。然而，没有建立这些框架也会带来自己的后果。根据同一项研究，到2027年，多数组织（60%）将由于缺乏凝聚力的AI伦理治理框架而无法实现预期的AI使用案例价值。

一个值得注意的例外是，法律团队参与这些对话确实会减慢速度。然而，在我的经验中，建立一个治理、风险和合规（GRC）团队可以通过成为法律团队和产品团队之间的桥梁来保持事情的顺利进行，同时为法律团队提供所需的报告，并与开发团队合作以减轻未来的诉讼和罚款风险。最终，这进一步强调了投资治理的重要性，以确保它不会干扰创新。

创建可以扩展的监督和治理系统

尽管许多受访的CIO和CTO认为监管会限制创新，但同样多的比例（84%）预计他们的公司将在未来12个月内增加AI监督。考虑到AI集成可能会随着时间的推移而扩展和扩大，因此治理系统也必须能够扩展以适应它们。

我经常看到企业在AI实施的早期阶段，不同的业务单元正在独立工作，分别运行不同的部署，具有不同的“负责AI”的愿景。为了避免这些不一致，公司应该建立一个专门的AI卓越中心，结合技术、合规和商业专业知识。

AI卓越中心将为公司范围内的标准和分级审批流程建立基准，在那里低风险使用案例将有一个渐进的路径。同时，卓越中心还应为高级管理人员设定AI安全KPI，以确保责任感不会在日常业务功能中丢失。此外，公司还应建立AI风险登记册，就像他们跟踪网络安全风险一样，并保持审计跟踪，反映谁构建了ML/AI实现、如何测试以及如何随时间推移进行性能监控。

最重要的收获是，负责AI需要治理成为一个持续的过程。它不仅仅是关于启动时的批准，而是关于整个模型生命周期的持续监控。因此，培训是关键。开发人员、技术人员和商业领袖应该接受负责AI实践的培训，以便他们可以尽早发现问题并在系统演变时保持高标准的治理。通过这样做，AI部署将更加可靠、有效和盈利——而无需打破任何东西。