当生成式AI的浪潮席卷全球企业,当欧盟AI法案、各国监管政策密集出台,AI治理不再是一个停留在PPT上的概念,而是决定企业能否安全、可持续地拥抱AI技术的核心命题。在这样的背景下,Trustible联合创始人兼CEO Gerald Kierce的经验与洞察,为正在AI治理迷雾中摸索的企业提供了清晰的方向。
### 从行业痛点中诞生的AI治理解决方案
Gerald Kierce的职业生涯始终游走在技术、政策与企业运营的交叉地带。在FiscalNote担任AI解决方案副总裁兼总经理期间,他见证了企业在AI治理上的普遍困境:AI的性能、安全、隐私、伦理和法律审查被分割在不同部门,缺乏统一的协作框架;企业往往在AI部署后才试图适配监管要求,而非将治理嵌入全生命周期;面对动态变化的AI系统,传统的静态治理体系完全失效。
这些痛点最终催生了Trustible的诞生。这家专注于AI治理的平台企业,核心使命是帮助企业将负责任的AI从理念转化为可操作的实践。Gerald Kierce强调,AI治理本质上是一个社会技术问题,需要将技术行为、用例风险背景、所有权和监管期望整合在一个系统中,为企业提供一个动态的AI记录系统,确保治理能够跟上技术和监管的双重演进。
### 实战视角:AI治理为何在落地阶段停滞?
在与大量企业的合作中,Gerald Kierce发现,AI治理最容易在从实验走向实际业务流程的阶段陷入停滞,而背后的原因往往非常实际。
首先是风险评估的脱节。许多企业能够在抽象层面评估模型风险,但在实际用例层面却力不从心。尤其是生成式AI,同一个基础模型可能被用于客户支持、内部研究、决策支持等多个场景,每个场景的风险轮廓截然不同。如果没有结构化的评估方法,企业要么过度谨慎,要么盲目推进。
其次是第三方AI的治理难题。企业越来越依赖供应商提供的AI能力,但却缺乏统一的评估方法,无法清晰了解上游控制措施,也难以将供应商风险转化为自身的监管和运营风险。这导致相关审查主观且缓慢。
更关键的是责任归属模糊。当AI系统从实验阶段进入生产阶段,很多企业都没有明确的负责人,导致治理工作沦为咨询性质,推进缓慢。Gerald Kierce指出,核心问题在于企业用针对静态系统的旧治理手册来应对动态的AI技术,而AI需要的是持续的风险评估、明确的结果导向所有权,以及与实际生产行为挂钩的工具。
### 从“元年”到“第二年”:AI治理的进阶之路
Gerald Kierce提出了“第二年AI治理”的概念,描绘了企业从初始采用到持续监控的转型路径。
在AI治理的“元年”,企业的重点是启用相关机制,包括审批用例、记录模型、建立审查流程,确保AI能够负责任地推进。而进入“第二年”,当AI系统规模化并嵌入核心业务流程后,治理的重点就从“是否应该部署”转向“如何随着数据、用户、供应商和法规的变化,安全可靠地运营”。
这意味着AI治理需要从 episodic(偶发式)转向 continuous(持续式),从基于日历的审查转向基于行为或上下文变化的触发式响应。风险评估也需要动态化,不再是在部署时分配一个静态的风险等级,而是要理解风险如何随着模型漂移、范围扩大或新利益相关者的互动而演变。
此外,“第二年AI治理”还要求企业建立真正的AI事件管理能力,包括系统监控、基于固有风险的优先级排序、有意义的信号识别,以及清晰的警报和升级标准,以便在问题演变成事件之前进行早期干预。
### 资源有限时,AI治理的优先级选择
对于资源有限的企业,Gerald Kierce建议从以下四个核心能力开始标准化:
首先是获得对AI实际存在位置的可靠可见性。许多企业以为自己只有少数几个AI系统,但实际上存在大量影子AI、嵌入式供应商能力和未经正式审查的规模化用例。没有对生产环境中AI系统的动态视图,治理讨论就只能停留在理论层面。
其次是明确AI用例的责任归属。当责任分散在委员会或职能部门之间时,治理很快就会崩溃。企业需要明确指定谁对AI系统决策或影响决策的结果负责,而不仅仅是谁构建或最初审查了它。
第三是建立实用的风险推理方法。这意味着要建立一个适用于内部构建系统、生成式AI用例和第三方供应商的共享风险分类方法。没有共同的风险视角,企业要么过度审查低影响系统,要么对重要系统监控不足。
最后,治理必须能够在正常运营过程中自然生成证据。Gerald Kierce用“说出来、做出来、证明出来”来概括这一点,即在AI系统设计、部署和监控过程中捕获审批、变更和监控信号,以便在面对审计、事件、客户请求和监管问题时能够自信地回应,而不是事后重建。
### AI治理:为何需要像网络安全一样严肃对待?
Gerald Kierce强调,AI治理带来的系统性风险堪比网络安全和GRC(治理、风险与合规),但复杂度更高。与网络安全故障一样,AI故障可以在组织中快速且无形地传播;与GRC一样,AI涉及法律、道德和运营义务;但与两者不同的是,AI系统可以在没有明确人类干预的情况下随时间改变行为。
而领导者最容易低估的是AI治理的持续运营工作量。监控是持续的而非周期性的;协调需要跨越产品、数据、IT、法律、合规和采购团队;变更管理是常态,因为模型、供应商、用例和法规在同时演变。
那些将AI治理视为一次性合规工作的企业必然会陷入困境,而那些将其视为运营基础设施的企业,才更有可能安全、可持续地规模化AI应用。
### 应对监管不确定性:构建弹性治理体系
在美国各州积极推进AI规则,而联邦政策仍存在争议的背景下,企业如何设计能够抵御监管不确定性的治理体系?
Gerald Kierce给出的答案是:围绕需求而非单个法规构建治理体系。与其针对每一部新法律制定定制化流程,企业应专注于跨司法管辖区的共同期望,如库存、透明度、问责制、风险评估、人工监督和文档记录。
当治理系统是模块化的,新的监管要求可以映射到现有的控制措施上,而不是每次监管格局变化都迫使团队重新设计方法。这种方法的目标不是优化对当前规则的合规性,而是随着监管期望的演变而适应。
### 2026年展望:哪些AI治理能力将成为标配?
展望2026年,Gerald Kierce认为,随着AI从孤立试点发展到影响现实世界决策的系统,治理期望也在快速变化。
首先,持续监控将成为标配。静态文档和时点评估将无法满足监管机构、董事会、员工和客户的要求,因为AI环境是动态的。
其次,企业需要在日益复杂的AI供应链中实现一致的治理。内部模型、第三方供应商、嵌入式AI功能和自主组件都需要通过相同的视角进行治理,而不是将供应商AI视为盲区,或认为责任在采购阶段就结束了。
第三,随着监管执法收紧和公众对透明度的期望上升,审计就绪的证据需要能够按需提供。这意味着要在AI系统设计、部署和监控过程中捕获治理活动,而不是在事件或审计请求后重建决策。
最后,治理需要嵌入AI全生命周期。监督不应只是部署时的法律审查,而是一种集成到SDLC(软件开发生命周期)、MLOps(机器学习运维)和第三方采购工作流中的运营能力。
### 起步指南:已有AI生产系统但无治理体系的90天计划
对于那些已经在生产环境中使用AI但没有正式治理计划的企业,Gerald Kierce提供了一个务实的90天起步计划:
**前30天**:聚焦于获得基本可见性,识别生产环境中的AI系统,了解它们在何处影响实际决策,并分配明确的所有权。
**中间30天**:建立基线控制措施,定义风险分类方法,为高风险系统引入审批检查点,并开始监控最重要的领域。
**最后30天**:将治理从设置阶段转向运营阶段,将监控集成到现有工作流中,明确定义升级路径,并让证据在系统运行过程中自然积累。
Gerald Kierce强调,这90天的目标不是完美,而是建立势头。一个在实践中运行不完美的治理计划,远比只存在于纸上的计划有价值。
### 结语
在AI技术飞速发展、监管环境日益严格的今天,AI治理已经成为企业无法回避的核心议题。Trustible的实践表明,有效的AI治理需要将技术、政策和运营深度融合,构建动态、持续、嵌入全生命周期的治理体系。对于企业而言,与其将AI治理视为合规负担,不如将其视为构建信任、管理风险、释放AI价值的战略资产。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/cong-he-gui-dao-xin-ren-trustible-ceo-jie-du-ai-zhi-li-de
