采用人工智能，无论是生成式AI还是计算机视觉，已经不再是一个可有可无的选择，而是企业想在市场竞争中脱颖而出所必需的工具。随着这些AI技术能力的不断增强，它们也带来了新的风险。这个风险可以理解为不确定性对目标的影响，既有可能带来收益，也可能导致损失。这表明，在应用AI时，采取细致和全面的方法至关重要：不仅要避免负面后果，还要积极利用AI来获取竞争优势。

评估AI的风险容忍度

根据IDC的数据，预计从2024年到2027年，AI相关的核心IT支出将从2356亿美元增长至5210亿美元。这一巨大的投资规模显示了企业在AI领域的重视程度，同时也意味着风险不容忽视。因此，企业首先要做的就是全面评估自己应对不确定性的能力。

比如，一家大型零售商计划引入AI驱动的库存管理系统，这就需要明确其能接受的风险水平。虽然利用预测分析来优化需求预测和自动补货非常吸引人，但数据不准确可能会导致库存过多或缺货的问题。通过了解自身能够承受的风险范围，零售商可以设定合理的错误率标准，确保在追求运营效率的同时不会影响供应链的稳定性和可靠性。

定义风险管理概念：风险偏好和风险容忍度

风险偏好和风险容忍度是风险管理中的重要概念，它们使公司能够通过为可接受风险建立明确的界限来驾驭技术采用。这些术语通常可以互换使用，但它们具有不同的定义和含义。以下是风险偏好和风险容忍度是如何定义的，以及它们有何不同：

风险偏好是指组织为实现其目标愿意承担的风险的数量和类型。它反映了组织的战略意图及其冒着亏损或面临挑战的风险追求潜在收益的意愿。这通常由高级领导层制定，并作为整个组织如何处理风险的指导方针

风险容忍度比风险偏好更具体、更可操作。它量化了组织在特定领域或系统中可以承受的可接受风险水平。风险容忍度通常设置为阈值或限制（定量或定性），在运营和决策过程中不应超过这些阈值或限制。

对于AI项目，风险偏好为冒险设定了整体基调和边界，而风险容忍度则提供了具体、可操作的限制和指导方针，帮助运营团队安全有效地进行日常决策和活动。

示例：用于客户服务的 AI 驱动型聊天机器人：

假设有一家旅游公司使用 AI 驱动的聊天机器人，通过协助旅行计划、预订和查询来增强客户服务。该技术旨在通过其按需服务提高运营效率并改善客户体验。但是，它也存在与准确性、可靠性和客户满意度相关的风险。以下是此情景的风险偏好和风险容忍度声明示例： 从风险容忍度声明中，公司确定了可接受的阈值和限制，并分配了要监控的指标。这些指标包括关键绩效指标 （KPI） 和关键风险指标 （KRI），为 AI 驱动的聊天机器人的性能和有效性创建了一个评估框架。这可确保快速识别和解决潜在风险，并采取纠正措施将准确性、可用性和客户满意度保持在所需水平。

示例：通过指标建立风险阈值

下表详细介绍了用于监控和评估旅游公司实施的 AI 驱动型聊天机器人的性能和风险的 KPI 和 KRI，这些 KPI 和 KRI 与其风险偏好和容忍度保持一致。

应用风险容忍度降低AI风险

去风险是指采取行动以最小化与项目或技术相关的风险，确保它们与组织定义的风险容忍度一致。以下是应用风险容忍度来降低部署专为客户服务设计的 AI 聊天机器人的风险的示例。

示例：应用风险容忍度降低 AI 聊天机器人客户服务项目的风险

这种方法使组织能够利用其风险容忍度来识别超出其可接受阈值的风险，并实施缓解措施来降低 AI 聊天机器人部署的风险。

驾驭 AI 的不确定性：风险容忍度是我们值得信赖的指南针

风险容忍度是组织衡量他们在实施 AI 技术时愿意承担多少风险的关键工具。这个概念对于在 AI 的潜在优势与其可能带来的挑战（例如数据隐私问题、有偏见的结果或运营中断）之间取得平衡至关重要。随着技术的快速发展，拥有明确的风险容忍度就像一个值得信赖的指南针。它指导组织充满信心和明确的方向应对新的挑战。这种谨慎的方法确保了进展是经过深思熟虑和安全的，将 AI 变成一个有价值的盟友，而不是一场冒险的赌博。

编者按：本文于2024年8月19日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。  

作者：Mary Carmichael, CRISC, CISA, CPA, ISACA新兴趋势工作组成员 

翻译：尹杭宇，CISM，PMP, ISACA微信公众号特邀通讯员。  

校对：谭辰菲（William Tan），CISSP，CISA，CDPSE，CRISC，ISACA微信公众号特邀通讯员，华侨银行信息安全和数字化风险管理经理。