AI 系統事件應對：ISACA 報告揭示企業治理盲點

ISACA 報告指出，59% 的企業無法在資安事件中快速停止 AI 系統，僅 21% 能在半小時內介入。這揭示了 AI 治理架構不足的結構性問題。

AI 系統在企業中的部署日益廣泛，但當這些系統出現故障或遭受攻擊時，企業是否真的有能力及時應對？根據 ISACA 發布的最新研究報告，超過半數的企業對這個問題沒有明確答案。這項調查結果不僅暴露了技術層面的盲點，更揭示了組織在 AI 治理架構上的結構性缺陷。

研究發現：企業的 AI 應急能力令人擔憂

ISACA 對全球數位信任專業人士進行的調查顯示，59% 的受訪者不清楚自己的組織在資安事件發生時，能以多快的速度中斷或停止 AI 系統的運作。這個數據意味著，當 AI 系統出現異常行為或被攻擊者入侵時，多數企業只能眼睜睜看著問題持續惡化，卻無法及時採取行動。

更值得關注的是，僅有 21% 的受訪者表示，他們能夠在半小時內有效介入並阻止有問題的 AI 系統。這種反應速度的不足，意味著受污染或被操控的 AI 系統可能在企業網路中持續運行長達數小時甚至數天，造成不可逆轉的損害。想像一下，如果一個負責財務決策的 AI 模型被惡意操縱，每分鐘都在執行錯誤的交易指令，延遲一分鐘就可能帶來巨額損失。

缺乏事件分析與問責機制

除了無法快速停止系統運作外，企業在事件後的分析與問責方面同樣表現不佳。調查顯示，只有 42% 的受訪者對組織能夠分析並釐清嚴重 AI 事件的能力有信心。這種分析能力的缺乏，不僅阻礙了問題的根本解決，也讓企業難以從錯誤中學習，改進 AI 系統的設計與部署方式。

更令人震驚的是，20% 的受訪者表示，他們不知道如果 AI 系統造成損害，誰應該承擔責任。在責任歸屬如此模糊的情況下，一旦發生嚴重的 AI 相關事故，企業將面臨法律訴訟、監管裁罰與公關危機的多重衝擊。僅有 38% 的受訪者明確指出，董事会或高管會是最終的責任承擔者，這顯示許多企業在 AI 治理的制度設計上仍處於起步階段。

治理架構缺失的根本原因

Kovant 執行長 Ali Sarrafi 評論這項調查結果時指出：「ISACA 的發現指向了組織部署 AI 方式中的一個重大結構性問題。系統被嵌入關鍵工作流程，卻缺乏監督和審計所需的管理層。如果一家企業無法快速停止 AI 系統、解釋其行為，甚至無法確定誰應該負責，那麼這家企業並沒有真正掌控該系統。」

Sarrafi 強調，減緩 AI 採用速度並非解決方案，關鍵在於重新思考如何管理 AI。他指出：「AI 系統需要置於結構化的管理層中，被視為『數位員工』，具有明確的所有權、定義清晰的升級路徑，以及在風險閾值被突破時能夠立即暫停或覆蓋的能力。這樣一來，AI 代理就不再是神秘的機器人，而成為可檢視、可信任的系統。隨著 AI 越來越深入地嵌入核心業務功能，治理不能事後補救，必須從第一天就內建於架構中，在每個層面都設計好可見性與控制。」

人類監督是否足夠？

調查中有一項數據值得注意：40% 的受訪者表示，他們的組織幾乎在所有 AI 行動部署前都會有人類批准，另有 26% 會評估 AI 的輸出結果。表面上這似乎是一個安全閥門，但若沒有完善的治理基礎設施，人類監督很難在問題升級前及時識別並解決。

缺少治理架構的人類監督，就像在沒有儀表板的情況下駕駛飛機——飞行员只能看到極少的关键信息，無法在問題發生前做出正確的判斷。AI 系統的決策邏輯往往複雜且不透明，特別是近年來大型語言模型興起後，即使是人類監督者也難以完全理解 AI 的推理過程。

監管壓力與企業實踐的矛盾

儘管監管機構對 AI 風險的要求越來越嚴格，要求高層管理者承擔更大責任，但企業在實際執行上卻遠遠落後。ISACA 的調查發現，超過三分之一的組織不要求員工在工作產出中披露 AI 的使用情況與使用場景。這種不透明的做法，不僅增加了內部治理的難度，也讓外部監管機構更難以有效監督。

許多企業將 AI 風險視為單純的技術問題，而非需要整個組織謹慎管理的系統性議題。這種思維方式必須轉變。AI 系統的影響範圍跨越技術、營運、法務、公關等多個部門，有效的治理必須從組織層面出發，建立跨部門的協調機制與明確的問責制度。

建立可行的 AI 治理框架

面對這些挑戰，企業應該從幾個方向著手改善。首先，建立明確的 AI 系統生命週期管理流程，包括部署前的風險評估、運行中的持續監控，以及事件發生時的快速應變機制。其次，定義清晰的責任歸屬，確保每個 AI 系統都有明確的負責人，能夠在問題發生時做出停止或修改系統的決定。

此外，企業需要投資於 AI 系統的可解釋性技術，確保人類能夠理解 AI 的決策邏輯，特別是在高風險應用場景中。最後，定期進行 AI 事件的模擬演練，檢驗組織在真實危機中的應對能力，並從每次演練中持續改進應變流程。

ISACA 的報告為企業敲響了警鐘。當 AI 系統越來越多地參與關鍵業務決策時，如果企業無法有效掌控這些系統，風險將會不斷累積。 AI 治理不是選擇題，而是企業在 AI 時代生存的必修課。

來源

• How to prepare for and remediate an AI system incident — AI News
• ISACA Research Reveals AI Blind Spot at the Heart of Enterprise Risk — ISACA