美国财政部发布金融机构AI风险管理指导手册

美国财政部近期发布了多份专门面向美国金融服务行业的文档，建议采用结构化方法来管理运营和政策中的AI风险。CRI金融服务AI风险管理框架（FS AI RMF）配有一份指导手册，详细阐述了该框架的内容。该框架由100多家金融机构和行业组织合作开发，并得到了监管机构和技术机构的意见支持。

FS AI RMF的目标是帮助金融机构识别、评估、管理和治理与AI系统相关的风险，让企业能够继续负责任地采用AI技术。

AI系统风险的独特性

AI系统引入了现有技术治理框架无法解决的风险。这些风险包括算法偏见、决策过程透明度有限、网络安全漏洞，以及系统与数据之间复杂的依赖关系。大语言模型尤其令人担忧，因为它们的行为难以解释或预测。与确定性的传统软件不同，AI的输出会根据上下文而变化。

金融机构已经在严格的监管下运营，并且有大量通用指导，如NIST AI风险管理框架。然而，将通用框架应用于金融机构的运营时，缺乏反映行业实践和监管期望的细节。FS AI RMF被定位为NIST框架的扩展，在其页面中包含额外的行业特定控制措施和实用实施指南。

该指导手册解释了企业如何评估其当前的AI成熟度并实施控制措施来限制风险。其目标是促进行业内一致且负责任的AI实践，并支持该行业的创新。

框架组成结构

FS AI RMF将AI治理与已经影响金融机构的更广泛的治理、风险和合规流程相连接。

该框架包含四个主要组成部分。第一个是AI采用阶段问卷，让组织确定其AI使用的成熟度。第二个是风险和控制矩阵，包含一套与采用阶段相一致的风险陈述和控制目标。指导手册解释了如何应用该框架，而单独的控制目标参考指南提供了控制措施和支持证据的示例。

该框架定义了总共230个控制目标，根据从更广泛的NIST AI风险管理框架中改编的四个功能进行组织：治理、映射、测量和管理。每个功能都包含类别和子类别，描述有效AI风险管理和治理的要素。

AI采用阶段评估

采用阶段问卷确定组织使用AI的程度。例如，一些企业在有限的应用中依赖传统的预测模型，而其他企业则在核心业务流程中部署AI；还有一些企业只在面向客户的角色中使用AI。

该问卷帮助组织确定其在AI使用频谱中的当前位置，评估AI的业务影响、治理安排、部署模型、第三方AI提供商的使用、组织目标和数据敏感性等因素。

基于这种评估，组织被分为四个AI采用阶段：

这些阶段帮助机构将精力集中在适合其成熟度水平的控制措施上。处于早期阶段的企业不需要立即实施每个控制措施，但随着AI变得更加集成，框架会引入额外的控制措施来应对不断增长的风险水平。

控制目标和合规要求

每个AI采用阶段的控制目标涵盖治理和运营主题，包括数据质量管理、公平性和偏见监控、网络安全控制、AI决策过程的透明度以及运营弹性。

指导手册提供了可能的控制措施示例以及机构可以用来证明其合规性的证据类型。每个企业必须确定最适合的控制措施。

该框架建议维护针对AI系统的特定事件响应程序，并创建一个用于跟踪AI事件的中央存储库，这些过程将帮助组织检测故障并随时间改进治理。

可信AI原则

该框架纳入了可信AI的原则，定义为有效性和可靠性、安全性、安全和弹性、问责制、透明度、可解释性、隐私保护和公平性。这些为评估AI系统整个生命周期提供了基础。简单来说，金融机构必须确保AI输出可靠，系统受到网络威胁保护，当决策影响客户或具有监管相关性时可以解释决策。

实施建议和未来展望

对于任何国家的金融机构高级领导者来说，FS AI RMF提供了将AI集成到现有风险管理框架中的指南。它指出了组织中不同业务职能协调的必要性。技术团队、风险官员、合规专家和业务单位都需要参与AI治理过程。

在不加强治理结构的情况下采用AI可能会使机构面临运营故障、监管审查或声誉损害。相反，建立清晰治理流程的企业将更有信心部署AI系统。

指导手册将AI风险管理框架视为一个不断发展的实体。随着AI技术的发展和监管期望的变化，机构需要相应地更新其治理实践和风险评估。

对于金融部门的决策者来说，信息是AI采用必须与风险治理同步进行。像FS AI RMF这样的结构化框架提供了管理这种演进的通用语言和方法。

Q&A

Q1：FS AI RMF是什么，它的主要目标是什么？

A：FS AI RMF是CRI金融服务AI风险管理框架，由100多家金融机构和行业组织合作开发。其主要目标是帮助金融机构识别、评估、管理和治理与AI系统相关的风险，让企业能够继续负责任地采用AI技术。

Q2：为什么金融机构需要专门的AI风险管理框架？

A：AI系统引入了现有技术治理框架无法解决的独特风险，包括算法偏见、决策过程透明度有限、网络安全漏洞等。大语言模型的行为难以解释或预测，与传统确定性软件不同。虽然有NIST等通用框架，但缺乏反映金融行业实践和监管期望的细节。

Q3：FS AI RMF框架包含哪些主要组成部分？

A：该框架包含四个主要组成部分：AI采用阶段问卷（确定AI使用成熟度）、风险和控制矩阵（包含风险陈述和控制目标）、指导手册（解释框架应用方法）和控制目标参考指南（提供控制措施和支持证据示例）。框架定义了230个控制目标，按治理、映射、测量和管理四个功能组织。