資訊技術 — 資訊技術治理 — 組織使用人工智慧的治理衍生效應(續)
附錄A:組織做出決策的治理
治理標準綜覽
共通
ISO/IEC 37000敘述組織治理事宜,組織經由指導、視察與當責而達成既定目的。基本事項為:
© All Rights reserved. 版權聲明。
指導
ISO/IEC 38500提供指引給治理機構指派策略與政策責任,以設定資訊技術投資方向及所須達成目的。亦須激勵組織內資訊技術的良好治理,指導提出建議供核准處理已知需求。見圖A.1。
當責
組織的治理機構負責為決策、措施和整個組織間互動,及對利益相關者當責,此種當責不得轉嫁。
組織運用人員、流程及技術以達成目的,且不論利用哪些資源,治理機構是且僅是組織內上述成果的當責單位。例如:治理機構既負責且當責於組織成員誤用資訊技術的設備,即使因為組織內的指引不足、劣等訓練、視察失常、強制力道微弱,因而未能防範上述誤用發生。同樣地,使用人工智慧時的治理不足的風險亦歸屬治理機構。
所謂「可接受地使用人工智慧」係由組織的利益相關者所決定,且依組織營運情況有多種變動式前後環節,而「可接受地使用」端視某種前後環節而有所變化。正是通過利益相關者的參與過程,組織才能理解「可接受地使用」意味着什麼,並將該等要求轉化為組織政策。該等政策將不僅反映適用的法律要求,而且反映社會的期望。
利益相關者的參與係組織治理的關鍵原則,故須組織合理地穩定參與利益相關者以確保組織長期地創造利潤,且以利益相關者可以接受方式如此地做下去。此等關係或許須由組織營運相關的法律或道德義務、或是某種準則或社會、經濟與環境期待之行為所圍繞。
視察
ISO/IEC 37000, 第6.4.1節敘述治理機構須視察組織績效以確保足以達到組織之治理機構期許和預期成就的,倫理行為及合規性義務。
組織政策反應適用的法律及社會義務,亦包含配合及驅動組織達成目標的政策。為保持對利益相關者當責,治理機構採用組織政策的合規性為工具而保持有效地管制組織。
治理機構亦須負責決定組織為達成目標須準備面對的風險之性質與規模。一旦決定了風險偏好,治理機構視察合宜的管理風險方式及處理風險的必要方式以確保未逾越風險偏好。
良好視察可以確保治理機構提供合適的組織具備相當容量執行其任務、保護組織和利益相關者的利益,並突出機會事項。
管理決策的治理機構指引
治理機構為組織設立目的和其它參數且為整個組織當責。治理機構決定須設立哪些參數,因為該等參數因組織不同而變動不居。典型的參數如下所述(型式上或非型式上):
治理和管理角色的差異和明確性對於組織的成功至關重要。各該等角色涉及不同的職責,需要不同的技能。將之分離賦予各自明確界定的自由在創新性和企業家精神。角色之間的界面為保護組織帶來了必要的管制。例如,如果管理階層看到新的機會或風險超出了戰略或風險偏好,管理階層將提議改變相關的參數。然後,治理機構將決定改變該等參數是否符合本組織及其利益相關者的最大利益。
雖然該等角色中的每一個角色都是不同的,但如果角色之間不存在利益衝突,而且該人意識到每個角色所承擔的各自責任,則同一個人可以履行恰當的角色。例如:執行經理也可以是治理機構的成員。然而,重要的是,必須扮演著不同角色,而且該人必須認識到在任何時候其正在執行的角色。
資料使用的治理
ISO/IEC 38505-1第5節突出與治理有關的資料相關面向如下列:
本篇竟
- 設定目的、使命、願景、組織風氣、組織價值觀及文化以指導組織
- 掌舵策略及適當平衡資源以實現這一目的
- 視察組織的績效,確保合規性和可行性。
- 和利益相關者參與並對其當責
© All Rights reserved. 版權聲明。
指導
ISO/IEC 38500提供指引給治理機構指派策略與政策責任,以設定資訊技術投資方向及所須達成目的。亦須激勵組織內資訊技術的良好治理,指導提出建議供核准處理已知需求。見圖A.1。
當責
組織的治理機構負責為決策、措施和整個組織間互動,及對利益相關者當責,此種當責不得轉嫁。
組織運用人員、流程及技術以達成目的,且不論利用哪些資源,治理機構是且僅是組織內上述成果的當責單位。例如:治理機構既負責且當責於組織成員誤用資訊技術的設備,即使因為組織內的指引不足、劣等訓練、視察失常、強制力道微弱,因而未能防範上述誤用發生。同樣地,使用人工智慧時的治理不足的風險亦歸屬治理機構。
所謂「可接受地使用人工智慧」係由組織的利益相關者所決定,且依組織營運情況有多種變動式前後環節,而「可接受地使用」端視某種前後環節而有所變化。正是通過利益相關者的參與過程,組織才能理解「可接受地使用」意味着什麼,並將該等要求轉化為組織政策。該等政策將不僅反映適用的法律要求,而且反映社會的期望。
利益相關者的參與係組織治理的關鍵原則,故須組織合理地穩定參與利益相關者以確保組織長期地創造利潤,且以利益相關者可以接受方式如此地做下去。此等關係或許須由組織營運相關的法律或道德義務、或是某種準則或社會、經濟與環境期待之行為所圍繞。
視察
ISO/IEC 37000, 第6.4.1節敘述治理機構須視察組織績效以確保足以達到組織之治理機構期許和預期成就的,倫理行為及合規性義務。
組織政策反應適用的法律及社會義務,亦包含配合及驅動組織達成目標的政策。為保持對利益相關者當責,治理機構採用組織政策的合規性為工具而保持有效地管制組織。
治理機構亦須負責決定組織為達成目標須準備面對的風險之性質與規模。一旦決定了風險偏好,治理機構視察合宜的管理風險方式及處理風險的必要方式以確保未逾越風險偏好。
良好視察可以確保治理機構提供合適的組織具備相當容量執行其任務、保護組織和利益相關者的利益,並突出機會事項。
管理決策的治理機構指引
治理機構為組織設立目的和其它參數且為整個組織當責。治理機構決定須設立哪些參數,因為該等參數因組織不同而變動不居。典型的參數如下所述(型式上或非型式上):
- 策略決定包括擬服務的市場及提供何種產品與服務
- 利益相關者的參與以設立投資、期待的行為、文化與價值觀
- 風險偏好羅列組織追求既定目的所願意承擔的風險之性質與限度
治理和管理角色的差異和明確性對於組織的成功至關重要。各該等角色涉及不同的職責,需要不同的技能。將之分離賦予各自明確界定的自由在創新性和企業家精神。角色之間的界面為保護組織帶來了必要的管制。例如,如果管理階層看到新的機會或風險超出了戰略或風險偏好,管理階層將提議改變相關的參數。然後,治理機構將決定改變該等參數是否符合本組織及其利益相關者的最大利益。
雖然該等角色中的每一個角色都是不同的,但如果角色之間不存在利益衝突,而且該人意識到每個角色所承擔的各自責任,則同一個人可以履行恰當的角色。例如:執行經理也可以是治理機構的成員。然而,重要的是,必須扮演著不同角色,而且該人必須認識到在任何時候其正在執行的角色。
資料使用的治理
ISO/IEC 38505-1第5節突出與治理有關的資料相關面向如下列:
- 價值觀:資料係資訊使用時的原始材料,某些資料係潛在地使用不著,而某些資料卻對組織異常有價值。只是往往未認識該種價值,直到組織會用到它們時才意識到,因此,所有資料皆係治理機構關注的對象且最終亦為當責者。「價值觀」在此處亦包括資料的品質和數量、其時間線、前後環節(概略說來亦皆是資料),及儲存、維護、使用及銷毀的成本。
- 風險:不同類別的資料和處理方式帶來不同層次的風險,治理機構須瞭解資料的風險以及如何指示管理人員管理該等風險。該等風險不僅增加資料洩露的風險,而且還會昇高因為資料的誤用以及由此產生的任何聲譽風險。
- 限制:大多數資料都帶有關於其使用的限制。其中一些是通過法律、規章或合約的義務從外部施加在組織上的,包括隱私權、版權、商業利益等問題。其他考慮因素包括道德或社會義務,或限制資料使用的組織政策。在組織使用資料時,需要制訂策略和政策以考慮該等限制因素。
本篇竟
沒有留言:
張貼留言