我们认为，2025年是将人工智能治理作为企业战略差异化因素的元年，我们期望看到企业为管理人工智能风险做出切实的承诺并采取行动——借鉴网络安全和隐私风险管理的最佳实践，同时融入针对人工智能特定风险的新的独特的方法。

应对人工智能开发和部署复杂性的组织越来越多地在思考，人工智能治理如何成为实现其人工智能战略目标赋能。因此，如何设计和建立人工智能治理方案已迅速成为各组织的首要战略重点。

本报告梳理了使得人工智能治理方案取得成功的关键因素——人员、人员的技能和培训、工具以及流程——如何为人工智能治理的战略功能和组织结构提供支持。报告深入探讨了各组织处理、设计和实施人工智能治理的具体实践，并确定了关键且常见的问题。

第一部分：人工智能治理的设立

案例研究：Mastercard公司的人工智能治理方案

案例研究：TELUS公司的人工智能治理方案

案例研究：波士顿咨询集团的人工智能治理

第二部分：实现人工智能治理的专业化

案例研究：Kroll公司的人工智能治理方案

案例研究：IBM公司的人工智能治理方案

第三部分：领导力与问责制

案例研究：Randstad公司的人工智能治理方案

案例研究：Cohere公司的人工智能治理方案

在接受调查的组织中，77%的组织目前正在开展人工智能治理，而已在使用人工智能的组织中，这一比例跃升至近90%。重要的是，尚未使用人工智能的组织中有30%表示正在开展人工智能治理，这或许揭示了一种普遍存在的“治理先行”的优先策略，即在使用人工智能之前确保良好的治理。一些案例研究也支持这一点，表明各组织在将人工智能应用于较小规模的用例之后、将其作为战略重点之前，会实施正式的人工智能治理方案。

本报告显示，不存在单一的治理路径；每个组织在决定如何制定其人工智能治理方案时，都需要考虑自身目标和独特情况。尽管各组织可以利用现有的隐私和合规职能来支持人工智能治理，但人工智能带来了独特风险，需要各职能部门之间进行协作。人们认识到，人工智能系统存在独特风险，需要计算机科学和模型风险管理等领域的专业知识。虽然许多现有的隐私和网络安全风险，如模型漂移、虚构信息或幻觉等，可以通过数据治理和网络安全风险管理来解决，但衡量人工智能系统的社会技术风险将需要额外的人工智能治理措施。由学术界、私营企业的人工智能从业者以及标准制定机构共同制定的具体规范、标准和基准，对于创建一个健全的人工智能治理和人工智能保障生态系统至关重要。成熟的人工智能治理方案的其他标志还包括设立监督机构以及建立清晰的沟通渠道，包括汇报机制、内部人工智能知识普及培训以及在整个组织内进行信息传播。

这七个案例研究凸显了从大型知名跨国公司到专注于人工智能的新兴公司在方法上的多样性。这些公司意识到并正在为履行法规义务做准备。在将一个案例与另一个案例进行比较时，出现了一些共性，比如都设有风险评估和缓解流程。对于许多组织而言，这一流程已成为他们构建对人工智能系统进行编目、分析和确保合规的方法的核心部分。

Mastercard公司是支付行业的一家全球性科技公司，其标志随处可见，很可能就在我们许多人的钱包里的卡片上。该公司的商业模式以处理交易数据为基础，长期以来一直积极投身于数据隐私和网络安全领域。银行业和金融服务行业历来受到高度监管，这意味着该公司已习惯紧跟监管要求并做好合规工作。鉴于Mastercard的业务覆盖范围和规模，其治理体系必须实现规范化且协调良好，以达到最高标准。

其人工智能治理工作源自隐私和数据战略职能部门。在最初为符合《欧盟通用数据保护条例》而开展工作时，这两个职能部门协同合作，并很早就认识到人工智能的战略重要性，以及构建人工智能治理框架的必要性。2022年，经过近五年的紧密合作，这些团队被整合到一个集中且协调的人工智能治理方案中。

这个核心人工智能治理团队拥有具备多种不同技能的专家，包括律师、合规专员、政策专家和数据科学家，并与其他团队（如技术团队和企业安全团队）密切合作。该团队通过人工智能风险评估和缓解流程与每个部门合作，该流程会对公司内不同的人工智能项目进行筛选。这一流程被纳入公司更大的风险管理框架中。团队将精力集中在使用个人信息或可能对人员、社会或公司声誉产生影响的高风险案例上。

项目的筛选和优先级确定以Mastercard公司的政策为指导。在人工智能风险评估和缓解流程中，会根据所识别的风险，按需引入其他团队的专家。任何被认为具有潜在高风险的事项都将由人工智能与数据委员会进行审查，该委员会由来自不同职能部门的高级领导组成，并由首席隐私官和首席人工智能与数据官共同担任主席。核心团队与该委员会一起，就降低风险所需的具体行动向不同职能部门提供建议。例如，如果存在潜在的知识产权风险，将引入一名知识产权律师进行咨询。该团队可能需要核心团队职责范围之外的其他领域（如网络安全、技术或反垄断领域）的指导。团队已开始增加当前人工智能治理团队或其他职能部门所不具备的技能，招聘具备新技能的员工或提升现有员工的技能。

TELUS公司是一家加拿大通信技术提供商。该公司最近通过提供连接服务和技术实现业务扩张并实现业务多元化，推动产生有意义的变革，涵盖从变革医疗保健到使全球食品供应更具可持续性等方面。

TELUS公司的创新文化有助于其采用生成式人工智能。公司，尤其是其数据与信任办公室，利用人们对生成式人工智能的浓厚兴趣进行安全创新，摒弃那种认为需要在创新与安全之间进行权衡的观念；要实现良好的创新，就需要保障安全。鉴于数据和人工智能技术产生的广泛影响，公司通过让每位团队成员参与数据和人工智能素养培训，并提供提升技能的额外机会，确保其工作反映社会的多样性，这对个人、企业以及更广泛的社会都有益处。

随着时间推移，数据与信任办公室与技术团队合作开发了公司的软件平台，使员工能够使用各种经过批准的工具。外部供应商开发的人工智能模型可在该平台上使用，但由TELUS公司进行管理和控制。输入到模型中的任何数据都将通过托管模型的自有平台以及与模型供应商达成的协议得到可靠保护。其首个面向公众的生成式人工智能工具，即一款客户支持工具，是全球首个通过国际标准化组织“设计时考虑隐私”认证的生成式人工智能工具。数据与信任办公室正在努力获取更多人工智能认证。

波士顿咨询集团为全球客户提供管理咨询服务和技术解决方案。为管理其交付给客户以及在内部部署的人工智能系统所带来的风险，该集团制定了一套全面的风险管理流程。

为管理这一流程，波士顿咨询集团希望拥有一个集成工具，以帮助推进其从构思到交付的人工智能风险管理工作。对市面上现有的解决方案进行广泛的基准测试后发现，没有现成的工具能满足其需求。因此，该公司决定开发一个工具来帮助管理各种数字风险，于是有了这个风险管理工具。该工具对所有内部项目和客户项目进行分类整理。在项目启动前，人工智能风险管理流程就已开始，先针对用例制定初始风险状况，为顾问提供对每个潜在项目的风险评估、缓解措施以及防护措施要求。一旦项目推进，就会进行全面的影响评估。波士顿咨询集团会评估业务、技术、信息安全、数据保护、法律以及负责任的人工智能风险。所识别出的风险会告知团队在开发阶段必须实施的缓解措施和防护措施。

在开发高风险用例时，团队会格外小心。这些高风险用例包括法律定义的高风险人工智能系统或重要决策系统，此外还包括特别定义的用例，例如可能涉及儿童的人工智能用例。波士顿咨询集团的负责任的人工智能政策指导风险管理流程，包括确定哪些用例被归类为高风险用例。风险管理流程和负责任的人工智能政策均由首席人工智能伦理官和负责任的人工智能委员会监督，该委员会由来自整个组织的固定和轮值的高级管理人员组成，为所有高风险用例提供审查和指导。

在此过程中，人工智能团队以及其他职能团队的专家会使用该工具。在风险管理流程的不同阶段，来自工程、信息安全、数据保护、法律以及风险与合规职能的专家会评估风险，并提供防护措施和缓解措施，这些都会记录在风险管理工具中。通过多个团队使用风险管理工具进行互动与协作，波士顿咨询集团能够就如何定义风险以及采取何种行动达成共识，并为项目的整体风险状况建立单一的事实来源。该工具中存有公司项目的基本真实信息，包括围绕风险和缓解措施的所有相关数据。在开发阶段识别出新风险并实施缓解措施时，相关职能团队会将这些更新记录在工具中。项目执行发起人可以实时查看正在开发的用例以及相关风险和缓解措施，从而能够跟踪风险状况的变化。还可以对系统卡片或其他项目文档进行格式化处理，并从该工具中导出。

随着世界各地更多监管人工智能的立法不断涌现，各组织可能会感受到更大的压力，需要采用正式且结构化的方式来进行人工智能治理。然而，新兴的法规并非促使企业建立自身人工智能治理方案的唯一动力。人工智能治理也可以成为企业发展的催化剂，提升品牌信誉，并为企业在管理不断演变的技术领域和监管环境时提供所需的确定性。识别并解决风险能够推动企业发展，特别是通过有效的人工智能治理为大量低风险人工智能应用场景降低风险的能力，从而为各种规模的企业释放效率、创造力和创新方面的潜力。通过对不同用例进行分类，并根据风险程度适当地加以处理，企业能够更快速地应用人工智能。

通过了解类似组织正在采取的措施，各组织可以对自身的人工智能治理方案进行基准测试，不仅可以调整自身项目，还能为不断增长的人工智能治理成熟度的相关知识体系添砖加瓦。人工智能是一项前沿技术，而人工智能治理仍是一个新兴领域，这需要随着时间的推移对不同的方法、流程和标准进行测试和评估。企业之间分享最佳实践和见解将有助于树立先例，并为那些寻求有效识别、管理和缓解与自身人工智能系统相关风险的公司创建切实可行且有意义的基准。

END

国际注册舞弊审查师协会（ACFE）成立于1985年，由Joseph T.Wells博士（CFE、CPA）创立，是目前世界上规模最大的反舞弊专业组织，也是反舞弊培训和教育的内容和考试提供方。ACFE与180多个国家的95,000多名会员一起，正在全球范围内努力减少职务舞弊，并持续提供更有效打击舞弊所需的培训和各种资源。

反舞弊培训的积极效果是深远的。显然，打击舞弊的最佳方法是教育任何参与打击舞弊的人如何有效的预防、发现和调查舞弊行为。ACFE通过教育、团结和支持全球反舞弊团体，以更有效地打击舞弊行为，减少了全球范围内的商业舞弊行为，激发了公众对行业诚信和客观的信心。

ACFE为会员提供专业认证的机会。国际注册舞弊审查师（CFE）证书是世界各国企业和政府机构的首选推案，它有力的证明持证者在有关舞弊防范和调查等方面具有的理论基础和实务背景。CFE是反舞弊专家，获得CFE资格表明他们在金融交易和舞弊计划、法律、调查和舞弊预防与威慑这四个关键领域具有专业水平。

ACFE的成员包括会计师、内部审计师、舞弊调查人员、执法人员、律师、商业领袖、风险/合规专业人士和教育工作者等，他们都可以获得专业培训、理论工具和实务资源。无论他们是专门从事舞弊防范或调查的专业人士，还是仅仅想获得更多反舞弊方面的知识和经验，ACFE都能帮助他们实现自己的目标。

ACFE China由ACFE中国区北京、上海、广州、深圳分会联合发起,是一家有温度、有内容 、多元化 、国际化的专业合规反舞弊组织。 

ACFE China始终秉承“诚信铸就信心、合规创造价值”的理念，注重提高会员合规意识、舞弊防范和调查取证的专业知识和技能，增强“跨行业的专业信息交流和共享”的工作理念，更好的为企业和个人赋能，为广大合规反舞弊领域的同仁们创造更加专业、国际化的交流、共享平台。 

鉴于国际注册舞弊审查师协会（ACFE）在国际专业服务领域的卓越声誉和行业影响力，2025年5月，ACFE北京分会获邀成为北京“全球高端专业服务机构平台”成员单位，共促首都经济金融高质量发展。

国际注册法务会计师协会（FCPAA）在美国注册成立，是法务会计领域中的权威专业机构，也是一个自我监管的非营利性机构，致力于促进法务会计行业的专业化、国际化。FCPAA成立以来为迎合全球法务会计的需求，开展各类相关学术交流活动及提供专业的法务会计咨询、教育、认证服务。

深圳市威普爱生教育咨询有限公司（简称“威普爱生”）是一家致力于国际高端职业教育培训与咨询服务的教育机构，秉承“基于职场需求的人才培训与服务”的朴实教育理念，帮助更多的国内专业人士拓展国际视野、提升专业技能、巩固职场竞争力。目前，威普爱生为国际注册舞弊审查师协会（ACFE）亚太中国区唯一指定授权培训供应商。

自公司成立以来，先后开设财务类、金融类、法律类、合规类、医疗类、护理类、IT管理与安全、国际学位等课程及服务，基本覆盖了各个领域的专业知识和职场需求。现阶段已和国内外知名专业联盟及协会达成战略合作授权，并与海内外高校建立合作招生和课程教学的紧密联系，为国内专业人士在简历优化、背景提升、职业进阶等方面提供了强有力的选择和保障。