金融服务机构正在利用生成式人工智能（GenAI）来发掘运营效率提升的领域，推动产品升级和服务创新，并改善整体业务表现。随着生成式人工智能的快速普及，金融机构需要强化现有的治理框架，遵守不断演变的人工智能监管要求、框架和指引。

除了应对合规问题外，稳健的治理还需要针对生成式人工智能的特定风险进行调整，以推动人工智能技术的负责任应用和透明化运作。

本文探讨了在金融服务机构中建立和实施生成式人工智能治理的五个关键要素：

01加强风险管理主动与法律和合规部门协作

作为高度受监管的行业，金融服务机构必须优先关注合规，特别是在生成式人工智能领域，由于该技术受到高度关注且面临新的监管规定（如《人工智能法案》、《算法问责法案》及《美国数据保护与隐私法案》）。

因此，企业在实施生成式人工智能之初就需要与法律和合规部门紧密协作，确保合规性贯穿整个过程。

完善风险和控制清单

生成式人工智能的应用带来了诸如数据和网络安全等方面的新风险。一个关键的治理要点是更新现有的风险管理框架及相关控制措施，对风险及其严重性和影响进行重新评估。机构需重新审视现有的风险清单及其控制措施，并针对生成式人工智能进行优化和调整。以下是需要重点评估的具体风险领域：

● 数据风险：可能出现未经授权的访问、敏感数据的误用或不当处理，影响数据隐私和完整性。

● 网络安全风险：增加遭受网络攻击和威胁的可能性，包括数据泄露和恶意软件。

● 第三方风险：依赖外部生成式人工智能提供者或供应商可能带来的数据安全、合规性和可靠性问题。

● 合规风险：未能遵守相关法规要求或行业指引可能带来的风险。

● 技术风险：技术失败的风险，包括系统错误、兼容性问题以及生成式人工智能解决方案中意料之外的性能差距。

● 人才风险：寻找并留住管理、保护和治理生成式人工智能应用的相关专业人才所面临的挑战。

值得参考的一项人工智能系统风险管理指南是美国国家标准与技术研究院（NIST）发布的《人工智能风险管理框架》（AI RMF），它为企业更新风险与控制措施提供了有效工具。

建立监控机制

有效的治理需要通过制定关键指标（如绩效和风险指标）来评估生成式人工智能的影响领域，并利用自动化监控工具实时检测异常、模型偏移或潜在问题。

需要重点监控的领域包括但不限于：生成式人工智能供应商管理、数据质量及输出偏差、财务影响以及安全问题。

02明确责任，确保统一实施

为了建立有效的生成式人工智能治理结构，必须明确决策流程的归属。通过设定监督的角色和职责，并配合完善的审计追踪机制，确保全机构范围内的透明度和责任感。

选择适合的运营模式

理想的运营模式能够帮助企业评估和优先考虑生成式人工智能解决方案的应用领域，确保该技术在各业务线的统一应用和实施。企业可以根据自身的成熟度、规模和总体风险偏好选择以下三种模式之一：

分散式：各职能团队向机构的人工智能治理负责人报告，实行自我治理，具有分散决策和灵活性。

集中式：由一个中央机构监督所有人工智能相关事务，制定标准、政策和方法，适用于高度受监管的环境。

混合式：在集中化管理人工智能专业知识和最佳实践的同时，允许各业务部门根据自身需求进行创新和定制解决方案。

吸纳多元化的意见

有效的治理需要整合来自跨职能领域的意见，包括数据、网络安全、合规，以及法律、伦理和人力资源专家的建议。多元化的视角能够确保生成式人工智能治理政策的平衡性，有效应对企业各领域的风险。参与团队需对各自领域相关的问题负责，共同推动生成式人工智能的负责任应用。

决策论坛

设立专门的指导委员会监督人工智能战略与政策，同时成立人工智能伦理委员会以解决以下关键问题：

● 完善现有的治理政策与程序。

● 审核和批准生成式人工智能相关项目。

● 确定生成式人工智能活动的风险容忍度。

● 修正不良输出及意料之外的后果。

这些关键讨论有助于实现高效决策，保持业务目标与技术目标的一致性。

03优先关注隐私和安全

生成式人工智能工具（如大语言模型）大幅降低了技术应用门槛，但其利用企业数据进行推理的能力可能涉及敏感公司信息和个人身份信息，使数据隐私和安全成为治理的关键组成部分。

金融机构的治理政策应重点关注以下内容：

● 强制使用安全云环境中的私有企业模型，而非公共模型。

● 明确处理敏感数据的具体属性，并采取措施防止数据泄露。

● 制定数据访问和分发的使用准则，尤其是涉及“检索增强生成”（RAG）的情境。

● 确保生成式人工智能符合《通用数据保护条例》（GDPR）和《加州隐私权法案》（CPRA）的要求。

系统安全

在确保数据的适当使用和管理的基础上，还需要与网络安全实践保持一致，持续监控生成式人工智能系统和应用，及时发现漏洞或安全事件。使用合适的工具可以提升数据安全性，同时使生成式人工智能数据资产管理与企业的数据治理政策保持一致。

根据思科2024年数据隐私基准研究，许多企业因数据隐私和安全问题限制了生成式人工智能的使用，其中27%的企业至少暂时禁止使用，48%的企业承认曾将非公开的公司信息输入到生成式人工智能工具中。

清点并评估技术资产

企业在推进生成式人工智能应用时，需要详细了解现有的人工智能技术与系统资产。通过建立一个集中化的存储库，可以追踪企业各业务部门人工智能技术的使用情况，包括管理供应商提供的人工智能解决方案、人工智能项目、模型、数据来源以及关键文档（如系统文档、应急响应计划和数据字典）。这一实践可以提升透明度，具体表现为：

● 全面掌握生成式人工智能的使用及成熟度。

● 评估每个系统相关的风险。

● 确定受每个模型影响的用户数量。

● 加速生成式人工智能相关事件的响应。

● 保持生成式人工智能资产的最新状态。

培育正确的文化

领导层应确保生成式人工智能治理框架能够培育负责任技术应用的文化。

从基础做起，通过教育领导者和员工，让他们了解生成式人工智能在机构中的预期用途及其与整体战略目标的关系。可以通过定制培训计划以及编制政策和操作手册来实现生成式人工智能相关最佳实践的一致性。将生成式人工智能视为机构的战略重点，并确保整体合规性，将帮助团队认识其重要性及风险，同时获得必要的支持。

例如，Ally银行已经推出了企业人工智能操作手册，该手册定义了通用政策、流程以及机构的伦理指导原则。

结论

建立稳健的治理框架是金融服务机构生成式人工智能发展过程中不可或缺的一步。无论是从小规模应用起步，还是推广至全企业，强有力的治理都能确保机构在充分发挥生成式人工智能潜力的同时，保持合规、公平和安全。

企业应优先通过明确的政策、流程和控制措施，将治理与业务部门紧密结合。同时，投资于员工教育与培训，使其了解生成式人工智能的风险及其负责任使用方法，这将有助于实现长期的有效实施和应用。

虽然生成式人工智能为金融服务行业的各类场景带来了变革性潜力，但只有有效的治理才能确保其影响能够保持合规、公平并对所有利益相关方安全可控。

金融服务机构正在利用生成式人工智能（GenAI）来发掘运营效率提升的领域，推动产品升级和服务创新，并改善整体业务表现。随着生成式人工智能的快速普及，金融机构需要强化现有的治理框架，遵守不断演变的人工智能监管要求、框架和指引。

除了应对合规问题外，稳健的治理还需要针对生成式人工智能的特定风险进行调整，以推动人工智能技术的负责任应用和透明化运作。