美国财政部发布金融业AI风险管理指南

美国财政部近日发布了一系列面向金融服务行业的文件，旨在为AI风险管理和治理提供结构化方法。这些文件包括由100多家金融机构、行业组织、监管机构和技术机构共同制定的《CRI金融服务AI风险管理框架（FS AI RMF）》，并附带一份详细指南。

该框架的目标是帮助金融机构识别、评估、管理和治理AI系统相关风险，确保企业在采用AI技术时保持负责任态度。

行业特定框架

AI系统带来的风险，如算法偏见、决策过程透明度低、网络安全漏洞和系统数据间复杂依赖，是现有技术治理框架难以覆盖的。大语言模型（LLM）尤其令人担忧，因为其行为难以解释或预测。与传统确定性软件不同，AI的输出会随上下文变化。

金融机构已面临广泛监管，并有如NIST AI风险管理框架等通用指导。但通用框架应用于金融业务时，缺乏反映行业实践和监管期望的细节。FS AI RMF被定位为NIST框架的扩展，增加了行业特定控制措施和实际实施指南。

指南解释了企业如何评估当前AI成熟度并实施控制以降低风险，旨在促进行业一致的负责任AI实践并支持创新。

核心结构

FS AI RMF将AI治理与金融机构已有的更广泛治理、风险和合规流程相连接。

框架包含四个主要组件：首先是AI采用阶段问卷，帮助组织确定AI使用成熟度；其次是风险与控制矩阵，包含与采用阶段对齐的风险声明和控制目标。指南说明如何应用框架，而单独的控制目标参考指南则提供控制措施示例和支持证据。

框架定义了总共230个控制目标，根据从更广泛的NIST AI风险管理框架改编的四个功能组织：治理（govern）、映射（map）、测量（measure）和管理（manage）。每个功能包含描述有效AI风险管理和治理要素的类别和子类别。

评估AI成熟度

采用阶段问卷确定组织使用AI的程度。例如，一些公司仅在有限应用中依赖传统预测模型，而另一些则在核心业务流程中部署AI；还有些仅将AI用于面向客户的角色。

问卷帮助组织评估当前AI使用水平，考虑因素包括AI的业务影响、治理安排、部署模型、第三方AI提供商使用、组织目标和数据敏感性。

基于此评估，组织被分为四个AI采用阶段：

• 初始阶段：组织几乎没有或没有运营AI部署，AI可能正在考虑但未嵌入。
• 最小阶段：在低风险领域或孤立系统中有限使用AI。
• 演进阶段：组织运行更复杂的AI系统，包括涉及敏感数据或外部服务的应用。
• 嵌入阶段：AI在业务运营和决策中发挥重要作用。

这些阶段帮助机构将精力集中在适合其成熟度水平的控制上。早期阶段的企业无需立即实施所有控制，但随着AI更深入集成，框架会引入额外控制以应对增长的风险。

风险与控制

每个AI采用阶段的控制目标涵盖治理和运营主题，包括数据质量管理、公平性和偏见监控、网络安全控制、AI决策过程透明度和运营韧性。

指南提供了可能的控制措施示例和机构可用于证明合规的证据类型。每家公司必须确定最适合的控制。

框架建议维护针对AI系统的事件响应程序，并创建中央存储库以跟踪AI事件，这些流程将帮助组织检测故障并随时间改进治理。

可信AI

框架整合了可信AI原则，定义为有效性和可靠性、安全性、安全性和韧性、问责制、透明度、可解释性、隐私保护和公平性。这些为评估AI系统全生命周期提供了基础。简而言之，金融机构必须确保AI输出可靠、系统免受网络威胁保护，并在影响客户或具有监管相关性时能解释决策。

战略意义

对于任何国家金融机构的高级领导者，FS AI RMF提供了将AI整合到现有风险管理框架的指南。它指出组织内不同业务功能需要协调。技术团队、风险官员、合规专家和业务单位都需参与AI治理过程。

采用AI而不加强治理结构可能使机构面临运营故障、监管审查或声誉损害。相反，建立清晰治理流程的公司将更有信心部署AI系统。

指南将AI风险管理视为一个不断演进的实体。随着AI技术发展和监管期望变化，机构需要相应更新其治理实践和风险评估。

对于金融行业决策者，信息是AI采用必须与风险治理同步推进。像FS AI RMF这样的结构化框架提供了管理演进的共同语言和方法。