一家拥有200年历史、中东欧洲地区最大的金融集团，此时此刻正靠300多个AI模型协助执行旗下业务，他们如何管理这些模型？如何实现AI治理？

「首先要确保资料品质、划定资料角色和权责，最后引入第三方辅助和建议，来完善AI治理制度，」波兰保险集团PZU数据长暨分析长Marek Wilczewski在一场会议上说道。对他们来说，这场AI治理之旅也才刚开始。

部署300个模型支援业务，还成立资料治理委员会

PZU这家保险集团最初于1803年问世，以经营保险和银行业务起家。200多年后的今天，他们被评为中、东欧地区最大保险与银行集团，2022年净收益达7.22亿欧元。

随著业务不断增长，PZU发展出几条主要产品线，像是产物保险、人寿保险、资产管理规模（AUM）等。为因应这些增长，PZU集团在制定2021年至2024年的年度策略时，规画出稳定、诚实、负责和创新等4大面向，更将AI／机器学习（ML）、进阶分析、数位化和流程优化列为创新重点，同时也在诚实面向强调透明度和法遵。这些策略重点，成为了PZU集团推动AI监管治理的远因。

他们重视AI与数位化，是因为PZU集团在过去25年来，一直运用大量资料来协助业务发展。比如，在这数十年间，他们整合了100多套来源系统的数据，也培养出3,300多位活跃的BI使用者。这些数据，主要用来打造各种业务工具，如行销、客户价值洞察、获取新客、留客、保险理赔、诈欺侦测、风险管理、员工与销售网路管理等。

「资料已成为我们的关键资产！」Marek Wilczewski说明，这些资料促使PZU集团发展出进阶AI分析应用，目前部署超过300个AI／ML模型，来协助精算、客户关系管理（CRM）、欺诈管理和保险理赔等领域业务。

他进一步举例，就ML来说，他们运用广义线性模型（GLM）、梯度提升模型（GBM）和资料探勘等技术，来辅助保险精算、核保、CRM、理赔和欺诈侦测等作业。在AI应用上，PZU集团则与新创公司一起打造内部解决方案，比如他们有套通过医学认证的1分钟皮肤检测App，能针对使用者的皮肤影像，来判断皮肤癌风险；另也有套客服AI，能根据使用者提供的物件照片快速判断损坏程度，同时侦测欺诈的可能性。甚至，他们还结合卫星影像，打造一款照片分析和侦测工具，能用来比对卫星照片，进一步判断农业保护申请理赔的损害程度与理赔内容，加速理赔流程。

不只如此，PZU集团还部署了90支RPA自动化机器人，用于100多个作业流程，每年使用量更高达1,100多万次。

面对如此大量的AI应用，PZU集团也早已发展出成熟的模型维运（ModelOps）作法。Marek Wilczewski指出，他们将模型维运成熟度分为3个等级，第1级是初阶的制造阶段，包括进行PoC专案／最小可行性专案MVP、仍需手动建模和验证，但开始建立AI／ML工具链和技能知识。

第2等级是工厂阶段，包括具备可扩展、统一的模型开发部署与监控方法，建立标准化的分析流程、集中管理模型库和程式码版本、强化透明度和可解释性文化等，但品质评估仍需人工手动处理。最后一级是工业化阶段，即具备集团等级的角色分工与原则、产业化扩展性、模型交付时间缩短、具流程自动化和自助式的业务工具、能自动化重新训练模型、元件可重复使用等，Marek Wilczewski点出，PZU集团就正处于第3级的工业化阶段。

也因此，如此仰赖资料的PZU集团，在好几年前就已制定一套资料治理模式和原则，来定期检测和管理资料品质。Marek Wilczewski直言：「人的问题很难处理，因为没人想对资料品质负责。」于是，他们当时推派各大高阶主管，来成立资料治理委员会，并定义各种资料角色，包括资料拥有者、业务系统拥有者、资讯使用者、领域专家和支援角色等，并对这些角色分派不同的资料管理责任，以确保资料持续发挥商业价值为由，来要求各部门职员，做好资料管理工作。

因应AI监管法规，PZU找来第三方建立治理机制

但Marek Wilczewski话锋一转，这2年，各国际组织和大国大动作推动AI监管法规，比如去年美国发布AI行政命令、美国国家标准暨技术研究院（NIST）发布AI风险管理框架、今年3月欧盟议会通过AI法案等。他表示，这些法规的共通点，都是对AI系统可能造成的社会和环境风险分级，并对高风险AI系统要求透明、负责、合乎伦理，且必须要有监管单位出现、对违规者祭出罚则。

有鉴于此，PZU集团也动起来，要建立更完善的AI监管与治理机制，而非只靠原有的资料治理作法。于是，在原本的资料品质控管和资料治理基础上，PZU集团资料治理委员会进一步成立AI监管团队，由一个特殊的资讯管理部门主导。这个部门很特别，其成员为各个业务和IT单位的代表，且每位代表都对应到AI法案有关的领域。

与此同时，PZU集团也开始评估第三方厂商，想藉第三方之力来完善AI治理机制。Marek Wilczewski表示，他们研究发现，大型供应商如微软、Google、IBM、SAS等皆有各自因应欧盟AI法案的负责任AI作法，但他们最后选择SAS，不只因为SAS近年发起数据伦理措施（DEP）和AI治理顾问服务，还因为PZU集团自1995年开始，就采用SAS的资料仓储、BI和分析解决方案，来处理客户关系管理、欺诈管理等重要业务。

于是，2023年5月至11月，双方展开第一阶段合作。他们先是建立AI监管治理框架，将其切分为4大方向，包括监督、法遵与控制、文化、平台与维运。其中，监督是指整个集团的AI治理、策略及执行成效，法遵与控制则指效能、风险管理，平台与维运包括基础设施支援的标准流程，文化则指系统性的治理规则与措施。

在第一阶段，他们先锁定资料来源为内部的AI应用，将其纳入AI监管治理范围。这个AI监管治理流程，可分为输入阶段、AI治理团队研讨阶段，以及将选中的AI应用或产品，来进行4大方向分析与核对阶段。就输入阶段来说，他们参考了外部法规、负责任AI规则、PZU集团与外部合作伙伴、外部法律观点，接著由AI治理团队开设研讨会，来对AI应用进行资料、分析、安全、业务、创新、IT、法遵和风险等面向讨论。

之后，选定的AI产品会进行框架4面向分析，例如在监督部分，需符合AI系统定义、建立符合规范的风险管理模式，在法遵与控制部分，则进行风险分级分类、确认相依性，在文化部分则要符合AI模型列管清单、满足负责任和可信任AI定义。至于平台与维运部分，则要能供自助式使用，还要符合合作规则等。

不只如此，PZU也参考厂商提出的技术性AI治理框架，包括资料管理、解释性、侦测能力、隐私与安全、应对措施和模型维运的做法。其中，资料管理涵盖资料品质、注释资料（Metadata）、资料准备和资料资产目录，解释性则指自然语言解释、因果推论、代理模型解释等，侦测能力则是针对偏差和公平性的侦测与评估，应对措施包括降低和预防偏差、运用合成资料等。而模型维运，则涵盖生命周期管理、模型决策与监控。这些技术性要求，也是PZU集团的AI治理目标，接下来，他们将继续标准化更多AI应用流程，并将使用外部资料来源的AI应用，也纳入治理范围。

 更多相关报导请见