董事會最危險的風險,是那種人人都同意存在但沒人能解釋的風險。企業申報文件現在提到 AI 監督。委員會成立了。然而,信號與實質控制之間的落差正在擴大。如果揭露增加了三倍但理解保持不變,脆弱性是在累積,而不是減少。
近一半的 Fortune 100 公司現在將 AI 風險列為董事會層級的關切,較去年大幅上升。National Association of Corporate Directors 表示大多數董事會會討論 AI,但很多尚未將其納入治理、策略或風險監控。一項研究發現 38% 的商業領袖認為其董事不知道 AI 在公司內實際如何被使用。那不是監督。那是表演。Goodhart’s law 適用:一旦 AI 合規成為目標,合規就成為遊戲。指標改善,而風險隱藏。董事會在購買控制的外觀,出售實質內容。
一個系統的健壯度取決於其瓶頸。AI 有好幾個。運算供應集中在少數雲端供應商與 GPU 廠商。基礎模型由少數公司控制。法律條款常限制供應商責任,讓客戶承擔營運與法規風險。那是偽裝成創新的集中風險。相關曝險顯而易見:模型變更、雲端故障或 API 價格調整會同時傳播到多個客戶。可以把它稱為分散化的反面。如果五條業務線倚賴同一模型生態系,董事會不是擁有五個獨立的押注,而是擁有一個押注乘以五。在市場中,相關的尾部風險會讓好公司歸零。
銀行花多年時間驗證用於定價信用的模型。大多數非金融公司現在在數天內部署更複雜的模型。模型漂移、幻覺、提示注入、資料外洩——這些不是一次性 bug。它們是指向僅部分理解任務的機率系統的特徵。董事會允許準確率的聲稱而沒有基線。他們聽到「95%」卻不問「95% 是指哪個分配、在何種變動下、錯誤未被察覺的代價是多少?」在工程上,我們會做故障樹。在 AI 領域,很多人只做展示。如果董事無法將關鍵使用案例對應到失敗模式和斷路器,他們就沒有風險框架。他們只有新聞稿。
當董事會不設定護欄時,監管機構會做。新規則正在從概念走向執法。自動化招聘的偏見審計要求在紐約市已經生效。從歐洲的 AI 立法到現有的隱私與資安標準,全球框架正朝向文件化、可解釋性與問責匯聚。SEC 已提高資安事件揭露門檻。當演算法拒絕授信或過濾求職者時,原告律師會積極行動。監管機構與法院不會接受「是供應商做的」作為抗辯。未將 AI 在何處作出重要決策、由何種資料驅動、以及如何關閉加以目錄化的董事會,不是在治理一項技術,而是在承保一項未定價的責任。
董事面臨來自投資人、監管者與員工的壓力,要展現對 AI 的掌握。許多人無法清楚說明它嵌入何處、接觸哪些資料或有哪些控制措施。這不是道德失誤,而是識字問題。解方不是讓每位董事成為資料科學家。解方是讓這些問題成為非談判項。AI 在何處做出、建議或推動具有財務、法律或聲譽風險的決策?稽核軌跡為何?人工審查的門檻是什麼?漂移的領先指標有哪些?我們如何測試偏見與濫用?以及最重要的反向問題:在哪些業務部分我們應刻意不使用 AI,因為傷害的倍增效果超過利益?避開最後一個問題的董事會不是慢,他們是盲的。
AI 放大代理問題。中層經理因速度與成本節省而獲獎勵。供應商因被採用而獲利。兩者都能產出漂亮的簡報,但都沒有因一年後在另一部門出現的尾部風險而得到報酬。Goodhart’s law 再度顯現:衡量反應時間,員工會更快部署,即使失敗率在無人計數的地方上升。從博弈論角度看,企業內的 AI 部署是一個重複囚徒困境。各行為者的優勢策略是向前推進。合作結果——有衡量、受控的推出——需要可執行的規則與對齊的薪酬。否則,你會得到一拼凑的影子系統、未審核的提示與脆弱的依賴。董事會應假設這種行為,除非激勵被改寫並接受稽核。
抗脆弱不是避免衝擊,而是從小衝擊中受益並阻擋大衝擊。實務上:盤點每一個 AI 使用案例與供應商。繪製決策關鍵性、資料敏感性與升級路徑。設計上建立終止開關與靜默期。透過明確的存取控制與空氣間隙(air gap)把實驗與生產分離。對商業關鍵流程進行事前檢討(pre-mortems)與紅隊演練。要求對高風險工具進行獨立稽核,不僅是偏見篩檢,還包括安全、資料血統與韌性。談判供應商條款,將資料與停機視為共同風險並附帶實際補救。當法律要求可解釋性時,限制模型複雜度。資助內部能力以進行基本驗證,不是為取代供應商,而是為驗證供應商。最重要的是,在執行階層建立一位單一問責擁有人,擁有跨部門的權限,並設立一個不只看儀表板的董事會委員會。
董事會被告知必須快速行動,否則會被拋下。這種說法掩蓋了真正的權衡。在次冪法則市場中,少數人獲得大部分上行。其他人吸收採用、整合與合規的成本。速度放大了這種不對稱。對大多數公司來說,上行微薄且延後;下行則是立即且集中,對未準備者尤甚。正確的視角是機率加權的存續。能長久的公司像建造安全系統那樣建造 AI:最小可行依賴、最大的可觀察控制。他們接受短期的羨慕以換取長期的選擇價值。其餘公司混淆活動與進展,將黑盒再堆疊黑盒,並稱之為策略。AI 不會摧毀這些公司。他們自身的治理缺口會。
