董事会中最危险的风险,是所有人都同意其存在却无人能解释的那种。公司文件现在提到对 AI 的监督。委员会成立了。然而,信号与控制之间的差距正在扩大。如果披露增加了三倍而理解保持不变,脆弱性是在累积,而不是在下降。
近一半的财富 100 强公司现在将 AI 风险列为董事会层面的关注点,比去年大幅上升。National Association of Corporate Directors 表示,大多数董事会讨论 AI,但许多并未将其纳入治理、战略或风险监控。一项研究发现 38% 的企业领导者认为他们的董事不知道 AI 在公司中实际如何被使用。那不是监督。那是表演。Goodhart 定律适用:一旦 AI 合规成为目标,合规就成了游戏。指标改善,而风险隐藏。董事会在购买控制的外观,却出售其实质。
一个系统的强韧性取决于其瓶颈。AI 有好几个瓶颈。算力供应集中在少数云提供商和 GPU 厂商手中。基础模型由少数公司控制。法律条款常常限制供应商责任,让客户承担运营和监管风险。这是以创新之名掩盖的集中度风险。相关暴露很明显:模型变更、云中断或 API 定价调整会同时传播到各个客户。可以称之为分散化的反面。如果五个业务线依赖同一个模型生态,董事会并不是持有五个独立的赌注。它持有一个赌注的五倍。在市场中,相关的尾部风险就是好公司归零的方式。
银行花费多年时间验证用于定价信用的模型。大多数非金融公司现在在几天内部署远比那更复杂的模型。模型漂移、幻觉、提示注入、数据泄露——这些不是一次性的 bug。它们是面向其只部分理解任务的概率系统的特征。董事会允许准确率的声明而没有基准率。他们听到“95%”却不问“95% 是对哪个分布、在何种变动下、以及一次严重错误的代价是多少?”在工程中,我们运行故障树。在 AI 领域,许多人在做演示。如果董事无法将关键用例映射到失败模式和断路器,他们没有风险框架。他们只有新闻稿。
当董事会不设立护栏时,监管者会。新法规正从概念走向执法。自动化招聘的偏见审计要求在纽约市已生效。全球体系——从欧洲的 AI 立法到现有的隐私和网络安全标准——正趋向于文档、可解释性和问责制。SEC 提高了网络事件披露的门槛。当算法拒绝信贷或筛除求职者时,原告律师会很活跃。监管者和法院不会接受“是供应商干的”作为辩护。一个没有列出 AI 在何处做出重要决策、使用了哪些数据源以及如何关闭它们的董事会,不是在治理一项技术。它是在为一项未定价的负债承保。
董事面临来自投资者、监管者和员工的压力,要求展示对 AI 的掌握。许多人无法清楚说明它嵌入在哪里、触及哪些数据或有哪些控制措施。这不是道德失败。这是识字能力问题。解决方案不是把每位董事都变成数据科学家。解决方案是把这些问题设为不可谈判。AI 在哪些环节做出、推荐或推动带来财务、法律或声誉风险的决策?审计线索是什么?人工复核的阈值是什么?漂移的领先指标有哪些?我们如何测试偏见和滥用?以及最重要的反向提问:在哪些业务环节我们应有意不使用 AI,因为伤害倍增器超过收益?回避最后一个问题的董事会不是迟钝。他们是盲目。
AI 放大了委托代理问题。中层管理者因速度和成本节约而受奖赏。供应商因被采用而受奖赏。两者都能产生漂亮的幻灯片。但没有人为一年后在其他部门出现的尾部风险买单。Goodhart 定律再次出现:衡量响应时间,员工就会更快交付,即使失败率在无人计数的地方上升。从博弈论角度看,公司内部的 AI 部署是一个重复囚徒困境。各参与者的占优策略是继续推进。合作结果——有度量、有控制的逐步推广——需要可执行的规则和对齐的薪酬。没有这些,你会得到一堆补丁式的影子系统、未经审查的提示和脆弱的依赖。除非重写并审计激励,否则董事会应假定会出现这种行为。
抗脆弱不是避免冲击。它是从小冲击中受益并阻挡大冲击。在实践中:清点每一个 AI 用例和供应商。映射决策重要性、数据敏感性和升级路径。通过设计建立杀手开关和静默期。通过明确的访问控制和隔离带将试验与生产分开。对业务关键流程进行事前回顾和红队演练。对高风险工具要求独立审计,不仅是偏见筛查,还有安全、数据溯源和弹性。协商供应商条款,把数据和停机视为共同风险,并附以实际补救措施。在法律要求可解释性的地方限制模型复杂度。为基础验证建立内部能力,不是取代供应商,而是验证他们。最重要的是,在高管层设立一个具有跨部门权限的单一问责人,并设立一个不仅看仪表盘的董事会委员会。
有人告诉董事会他们必须快速行动,否则会被抛在后面。这种表述掩盖了真正的权衡。在幂律市场中,少数公司获取大部分上行收益。其他所有人承担采纳、集成和合规的成本。速度放大了这种不对称。对大多数公司来说,上行收益稀薄且是延迟的;下行风险对未做好准备者则是立即且集中的。正确的视角是概率加权的生存。能够长期存在的公司像构建安全系统一样构建 AI:最小可行依赖、最大可观测控制。他们接受短期的嫉妒以换取长期的期权价值。其余公司将活动误认为进步,将黑盒叠加于黑盒,称之为战略。AI 不会摧毁这些公司。是他们自身的治理缺口会。
