中東歐最大金融集團如何治理AI

一家擁有200年歷史、中東歐洲地區最大的金融集團，此時此刻正靠300多個AI模型協助執行旗下業務，他們如何管理這些模型？如何實現AI治理？

「首先要確保資料品質、劃定資料角色和權責，最後引入第三方輔助和建議，來完善AI治理制度，」波蘭保險集團PZU數據長暨分析長Marek Wilczewski在一場會議上說道。對他們來說，這場AI治理之旅也才剛開始。

部署300個模型支援業務，還成立資料治理委員會

PZU這家保險集團最初於1803年問世，以經營保險和銀行業務起家。200多年後的今天，他們被評為中、東歐地區最大保險與銀行集團，2022年淨收益達7.22億歐元。

隨著業務不斷增長，PZU發展出幾條主要產品線，像是產物保險、人壽保險、資產管理規模（AUM）等。為因應這些增長，PZU集團在制定2021年至2024年的年度策略時，規畫出穩定、誠實、負責和創新等4大面向，更將AI／機器學習（ML）、進階分析、數位化和流程優化列為創新重點，同時也在誠實面向強調透明度和法遵。這些策略重點，成為了PZU集團推動AI監管治理的遠因。

他們重視AI與數位化，是因為PZU集團在過去25年來，一直運用大量資料來協助業務發展。比如，在這數十年間，他們整合了100多套來源系統的數據，也培養出3,300多位活躍的BI使用者。這些數據，主要用來打造各種業務工具，如行銷、客戶價值洞察、獲取新客、留客、保險理賠、詐欺偵測、風險管理、員工與銷售網路管理等。

「資料已成為我們的關鍵資產！」Marek Wilczewski說明，這些資料促使PZU集團發展出進階AI分析應用，目前部署超過300個AI／ML模型，來協助精算、客戶關係管理（CRM）、欺詐管理和保險理賠等領域業務。

他進一步舉例，就ML來說，他們運用廣義線性模型（GLM）、梯度提升模型（GBM）和資料探勘等技術，來輔助保險精算、核保、CRM、理賠和欺詐偵測等作業。在AI應用上，PZU集團則與新創公司一起打造內部解決方案，比如他們有套通過醫學認證的1分鐘皮膚檢測App，能針對使用者的皮膚影像，來判斷皮膚癌風險；另也有套客服AI，能根據使用者提供的物件照片快速判斷損壞程度，同時偵測欺詐的可能性。甚至，他們還結合衛星影像，打造一款照片分析和偵測工具，能用來比對衛星照片，進一步判斷農業保護申請理賠的損害程度與理賠內容，加速理賠流程。

不只如此，PZU集團還部署了90支RPA自動化機器人，用於100多個作業流程，每年使用量更高達1,100多萬次。

面對如此大量的AI應用，PZU集團也早已發展出成熟的模型維運（ModelOps）作法。Marek Wilczewski指出，他們將模型維運成熟度分為3個等級，第1級是初階的製造階段，包括進行PoC專案／最小可行性專案MVP、仍需手動建模和驗證，但開始建立AI／ML工具鏈和技能知識。

第2等級是工廠階段，包括具備可擴展、統一的模型開發部署與監控方法，建立標準化的分析流程、集中管理模型庫和程式碼版本、強化透明度和可解釋性文化等，但品質評估仍需人工手動處理。最後一級是工業化階段，即具備集團等級的角色分工與原則、產業化擴展性、模型交付時間縮短、具流程自動化和自助式的業務工具、能自動化重新訓練模型、元件可重複使用等，Marek Wilczewski點出，PZU集團就正處於第3級的工業化階段。

也因此，如此仰賴資料的PZU集團，在好幾年前就已制定一套資料治理模式和原則，來定期檢測和管理資料品質。Marek Wilczewski直言：「人的問題很難處理，因為沒人想對資料品質負責。」於是，他們當時推派各大高階主管，來成立資料治理委員會，並定義各種資料角色，包括資料擁有者、業務系統擁有者、資訊使用者、領域專家和支援角色等，並對這些角色分派不同的資料管理責任，以確保資料持續發揮商業價值為由，來要求各部門職員，做好資料管理工作。

因應AI監管法規，PZU找來第三方建立治理機制

但Marek Wilczewski話鋒一轉，這2年，各國際組織和大國大動作推動AI監管法規，比如去年美國發布AI行政命令、美國國家標準暨技術研究院（NIST）發布AI風險管理框架、今年3月歐盟議會通過AI法案等。他表示，這些法規的共通點，都是對AI系統可能造成的社會和環境風險分級，並對高風險AI系統要求透明、負責、合乎倫理，且必須要有監管單位出現、對違規者祭出罰則。

有鑑於此，PZU集團也動起來，要建立更完善的AI監管與治理機制，而非只靠原有的資料治理作法。於是，在原本的資料品質控管和資料治理基礎上，PZU集團資料治理委員會進一步成立AI監管團隊，由一個特殊的資訊管理部門主導。這個部門很特別，其成員為各個業務和IT單位的代表，且每位代表都對應到AI法案有關的領域。

與此同時，PZU集團也開始評估第三方廠商，想藉第三方之力來完善AI治理機制。Marek Wilczewski表示，他們研究發現，大型供應商如微軟、Google、IBM、SAS等皆有各自因應歐盟AI法案的負責任AI作法，但他們最後選擇SAS，不只因為SAS近年發起數據倫理措施（DEP）和AI治理顧問服務，還因為PZU集團自1995年開始，就採用SAS的資料倉儲、BI和分析解決方案，來處理客戶關係管理、欺詐管理等重要業務。

於是，2023年5月至11月，雙方展開第一階段合作。他們先是建立AI監管治理框架，將其切分為4大方向，包括監督、法遵與控制、文化、平臺與維運。其中，監督是指整個集團的AI治理、策略及執行成效，法遵與控制則指效能、風險管理，平臺與維運包括基礎設施支援的標準流程，文化則指系統性的治理規則與措施。

在第一階段，他們先鎖定資料來源為內部的AI應用，將其納入AI監管治理範圍。這個AI監管治理流程，可分為輸入階段、AI治理團隊研討階段，以及將選中的AI應用或產品，來進行4大方向分析與核對階段。就輸入階段來說，他們參考了外部法規、負責任AI規則、PZU集團與外部合作夥伴、外部法律觀點，接著由AI治理團隊開設研討會，來對AI應用進行資料、分析、安全、業務、創新、IT、法遵和風險等面向討論。

之後，選定的AI產品會進行框架4面向分析，例如在監督部分，需符合AI系統定義、建立符合規範的風險管理模式，在法遵與控制部分，則進行風險分級分類、確認相依性，在文化部分則要符合AI模型列管清單、滿足負責任和可信任AI定義。至於平臺與維運部分，則要能供自助式使用，還要符合合作規則等。

不只如此，PZU也參考廠商提出的技術性AI治理框架，包括資料管理、解釋性、偵測能力、隱私與安全、應對措施和模型維運的做法。其中，資料管理涵蓋資料品質、註釋資料（Metadata）、資料準備和資料資產目錄，解釋性則指自然語言解釋、因果推論、代理模型解釋等，偵測能力則是針對偏差和公平性的偵測與評估，應對措施包括降低和預防偏差、運用合成資料等。而模型維運，則涵蓋生命周期管理、模型決策與監控。這些技術性要求，也是PZU集團的AI治理目標，接下來，他們將繼續標準化更多AI應用流程，並將使用外部資料來源的AI應用，也納入治理範圍。

 更多相關報導請見