生成式人工智能的风险和机遇管理

中国内地和香港地区 管理层指南—治理为先 生成式人工智能的风险和机遇管理 2023年10月 搭建可信赖的人工智能坚持负责任的人工智能 目录 引言2 企业面临的风险4 生成式人工智能对企业的影响5 识别生成式人工智能的应用场景6 管理新增和加剧的风险8 董事会和董事成员可采取的措施10 高级管理层可采取的措施11 底线13 普华永道风险及控制服务部门的服务14 联系我们了解更多信息15 生成式人工智能的风险和机遇管理1 引言 2022年11月，我们迎来了一场真正的革命。一夜之间，即便是仅会使用聊天软件的网民都感受到了人工智能的魔力。 在短短一周内，便有上百万用户通过ChatGPT撰写短文、编写计算机代码、创作艺术、把长文精炼为更有文采、更简洁的短文。 与此同时，一些心怀不轨的群体则试图利用生成式人工智能编写恶意软件、散播更具迷惑性的钓鱼邮件和伪造更逼真的虚假身份。这似乎预示着大规模欺诈、隐私泄露、虚假信息和网络攻击正向我们袭来。 在ChatGPT亮相仅数月后，生成式人工智能便深入地融入我们的生活和业务。活跃消费用户增长之快前所未有。从OpenAI的GPT3到GPT4，人工智能的功能实现了飞跃，在代码编写和中级专业写作方面的成绩显著。各大科技公司也不甘落后，纷纷推出/更新竞争产品；创业公司发布了定制应用程序的模型；包括普华永道在内的各大公司已宣布大规模投资自家的“CompanyGPT”，以供内部使用和对外提供新服务。 但担忧也随之而来，有人告诫“具有人类竞争智能的人工智能系统可以对社会和人类构成深远的风险”，社会大众和行业专家对此都深感忧虑。该项技术的头部供应商也承认存在类似风险。 风险管理关乎成败。如果公司希望成功实施生成式人工智能计划并取得竞争优势，则需要评估该技术可能给全公司带来的风险。为此，公司需要一套风险管理框架，以便更好地抓住机遇。 针对生成式人工智能，采用以风险为导向的方法将确保公司在数字化道路上，始终符合监管机构、消费者和其他利益相关者的期望。公司只有在采用生成式人工智能的同时建立信任，才能快速、充分地利用这项改变世界的技术带来的红利。 公司是否会冒险以信任换速度？ 46%中国内地及 68%中国香港 78% 只有48% 企业正在投资包括人工智能在内的新兴技术。 （资料来源：普华永道，2023年） 中国受访者认为，产品和服务采用人工智能的利大于弊 （资料来源：益普索，2022年） 员工认为，加速采用人工智能有助于事业发展 （资料来源：益普索，2022年） 企业面临的风险 生成式人工智能是人工智能家族中的一个强大分支，对企业具有颠覆性影响。它能够支持企业运营的几乎所有方面（包括客户服务、软件开发和数据分析）实现自动化和提升。 借助人工智能，公司能针对不同客户定制个性化互动，改善互动方式，从而提升客户关系。人工智能可以自动完成批量任务，例如处理保险索赔和沟通或执行某些软件开发任务。 通过人工智能，团队能更轻松地了解非结构化数据，包括合同、发票、客户反馈、保单、保险理赔员告知单、绩效评估、医疗记录等。 员工生产力可以大幅提升。根据OpenAI的估计，每10名员工中约有8名*可通过生成式人工智能自动完成其至少10%的工作任务，而这仅仅是起步。生成式人工智能工具可以自动完成例行任务，使员工得以解放，从而投身更具创造性的工作，或以更创新、更全面的方式理解复杂主题和任务，提升批判性思维。 随着技术需求的持续增长，生成式人工智能的功能也在不断进步。仅仅不到四个月，人工智能语言系统就在复杂度和功能性两方面取得了显着进步，发展劲头势不可挡。 公司想要搭上人工智能的快车，实现持续发展，则需尽早招募风险专业人员。如此方能树立公司信心，顺利实施和推进生成式人工智能项目。 公司的风险管理人员必须管理好新增和加剧的风险，以及在业务、法律和监管方面的一系列挑战。白宫、美国国会、美国联邦贸易委员会、中国国家互联网信息办公室和欧盟相继采取行动，对生成式人工智能进行监管。与此同时，针对生成式人工智能违反数据保护法，在未经同意的情况下，收集、使用和披露个人信息的行为，部分国家（意大利、加拿大、西班牙、法国、德国）展开了调查，以此响应社会各界的不满或担忧。 随着生成式人工智能技术日益普及，中国国家互联网信息办公室（网信办）、国家发展和改革委员会（发改委）、教育部、科学技术部（科技部）、工业和信息化部（工信部）、公安部和国家广播电视总局（广电总局）于2023年7月10日联合发布了《生成式人工智能服务管理暂行办法》，并于2023年8月15日生效。2023年10月18日，中央网信办更进一步发布《全球人工智能治理倡议》。 习主席在中共中央政治局会议上指出，“要重视通用人工智能发展，营造创新生态，重视防范风险”。 4 *资料来源于美国某项研究 生成式人工智能的风险和机遇管理 生成式人工智能对企业的影响 企业在涉足生成式人工智能时需重点关注以下方面。职能转型：重构运营。 为快速获得投资回报，部署生成式人工智能的“最佳着力点”很明确，即于运营各方面（例如营销、财务、供应链和税务合规）全面部署，以实现自动化和提升。凭借生成式人工智能，公司可最大限度地利用现有资源、强化决策能力、提升客户和员工体验。生成式人工智能可以优化数据集和文档集的整理，简化人工研究工作，还可用于起草财务、风险和合规性报告、定制个性化客户服务方案、识别人工报告中违规点。然而，为确保结果可靠，企业应依托负责任的人工智能框架施加强有力的监管。 负责任的人工智能：建立信任和管理风险。 企业想要通过生成式人工智能实现彻底革新，信任是首要前提。这需要企业负责任地使用人工智能，制定精细的实施方案，确保使用过程中的诚信和道德标准。通过整合技术、流程和技能，负责任的人工智能框架可以解决生成式人工智能的相关风险，例如网络威胁、隐私问题、法律影响、性能问题、偏见和知识产权风险。为了有效实施负责任的人工智能，最好的方法是将信任融入设计，从起步阶段便将信任纳入公司体系，并根据经验教训不断完善。 员工：培养技能，适应新工作方式。 生成式人工智能可以为知识型员工赋能，助力员工在更短的时间内取得更大的成果。然而，为了充分利用人工智能的潜力，公司应当为员工提供必要的技能培训，适应新工具和新工作方式。企业必须深谙运用之道，切勿因生成式人工智能看似简单而掉以轻心。随着人工智能的采用，新的岗位也将应运而生，如提示工程师和模型专家。这些人才的组合好比“人工智能工厂”，为企业人工智能系统的实施和维护提供支持。 云和数据：奠定增长基础。 生成式人工智能可挖掘非结构化数据的潜力，以此支持决策优化、收入增长和业务扩展。在推进数据和应用程序现代化时，公司应当充分考虑生成式人工智能，进而从根本上改变云应用的构建和运作方式。 新商业模式：数据货币化和行业重塑。 如果企业能自主地将非结构化数据转换为可实现的构想或新软件代码、产品、服务，或为每位客户提供真正意义上的定制体验，未来将会如何？生成式人工智能提供了这种可能，它既能建立新商业模式，也能颠覆基本价值链。企业在利用生成式人工智能提升运营效率的同时，不妨思考这项技术在近期将如何实现公司业务和所在行业的颠覆。 识别生成式人工智能的应用场景 生成式人工智能可在企业运营的大多数方面（从客户服务到软件开发和数据分析）实现自动化和提升。企业可以从以下角度识别应用场景。 自上而下 自下而上 生成式人工智能在各行业和业务职能方面的用途生成式人工智能优异的工作表现对员工的益处 行业 生成式人工智能技术能够解决不同行业 （例如医疗保健、科学研究和金融）的众多问题。 哪些生成式人工智能技术可用于企业所在的行业？生成功能如何助力企业立于不败之地？ 任务类型 某些类别的任务（如汇总、转换和问答）最适合生成模型的技术机制。 这些功能如何融入企业的业务流程？ 业务职能 生成式人工智能技术可用于研发、营销、销售、客户支持、运营、法律和后台流程。 生成式应用程序如何提供尽善尽美的服务？ 输出数据形式 生成技术可生成全新的文本、代码、图像、音频、视频等。 团队和员工个人每天产出何种类型的内容？ 企业的IT和风险专业人员可以帮助企业加速实施负责任的生成式人工智能。他们可以确保生成式人工智能的隐私保护到位、公平（不良偏见得到有效管理）、有效可靠、负责透明、可解释和可说明。 换言之，即是赢得信任。 管理新增和加剧的风险 我们认为，公司需要了解和管理该技术的以下四大固有风险： 数据风险 错误信息传播、知识产权或合同问题（因未经批准使用数据），或因采用低质量数据训练生成式人工智能模型而产生的误导性和有害内容。 模型和偏见风险 在语言模型开发时，违反道德和负责任的人工智能原则，导致输出歧视性或不公平的内容。 提示或输入风险 向人工智能模型提供粗浅提示或问题而生成的误导性、不准确或不良回答。 用户风险 用户在不知情的情况下采纳错误信息和其他不良内容而导致的意外后果。例如，用户可能会将人工智能产生的虚假信息（即错误或荒谬的回答）当作事实。 因生成式人工智能的使用情况不同，公司还可能面临其他风险，尤其是在公司计划创建与基础模型关联的专有模型并添加专有或第三方数据的情况下。 公司的风险专业人员有助于获取各利益相关方对生成式人工智能的信任。因此，他们应将信任融入设计，以信任为价值主张，而非一味追求速度，以此赢得客户、投资者、业务合作伙伴、员工和社会的认可。 风险领域专家应考虑隐私、网络安全、合规、第三方管理、法律义务、知识产权方面的全部风险，并相互协作管理好整体企业风险。 同时，公司应与人才/人力资源负责人合作，制定各级培训计划，让每位员工熟知生成式人工智能的风险与回报。安排经验丰富的人员检查生成式人工智能输出的“初稿”。 监控员工表现，防止随时间推移出现“技能萎缩”、自满、质量下降的情况。 各种成熟的框架为设计和部署值得信任的人工智能应用程序提供了良好开端，其中包括香港政府资讯科技总监办公室（OGCIO）发布的《人工智能道德框架》、香港个人资料私隐专员公署（PCPD）发布的《开发及使用人工智能道德标准指引》、中国银行保险监督管理委员会发布的《关于银行业保险业数字化转型的指导意见》以及《IS0/IEC23053:2022使用机器学习（ML）的人工智能（AI）系统框架》。 对于公司而言，制定有效的人工智能治理策略至关重要。除风险管理专业人员外，公司内外部人员均可能影响公司负责任地使用生成式人工智能的能力，包括数据科学家、数据工程师、数据提供方、领域专家、社会与文化分析师、多样性、公平性、包容性与可接取性、社区影响领域的专家、用户体验设计师、治理专家、系统出资人、产品经理、第三方实体、评估人员以及法律和隐私保护专业人员。 打造值得信任的人工智能的关键治理要素 法务与监管合规性 影响分析和风险评估 战略调整和 业务关怀 模型设计、方法 和假设 范围和要求明确 限制、防范措施和超驰控制 方案分析 培训数据 有效性和可靠性 数据安全 安全性和稳健性 透明度和 问责制 可说明性和可解释性 隐私保护 公平（有害偏见 管理） 性能和商业 价值 性能监控 （即漂移） 效益管理 变更和发布管理 问题管理 配置和版本管理 人工监督 培训和 技能提升 反馈机制 3.模型管理 在生产环境中人工智能模型部署、操作和监控的关键控制。 2.模型验证 采用以风险为导向的测试方法，包括设计评估指标和验收标准。 1.模型设计和开发 人工智能模型规划、设计、采购和/或开发流程的关键控制。 关键输入项和依赖关系 岗位和职责清晰 多元包容的团队 领导层参与 员工队伍和技能规划 政策和程序明确 风险管理框架 风险容忍度明确 第三方风险管理 9 生成式人工智能所带来的关键风险以及风险管理人员可采取的措施，请参阅后续各章节。 生成式人工智能的风险和机遇管