美国财政部已发布多份针对美国金融服务行业的文件，其中提出了在运营和政策层面管理人工智能风险的结构化方法。CRI金融服务人工智能风险管理框架（FS AI RMF）附带一份指南[.docx]，详细介绍了该框架。该框架由100多家金融机构和行业组织合作开发，并参考了监管机构和技术机构的意见。

FS AI RMF的目标是帮助金融机构识别、评估、管理和治理与人工智能系统相关的风险，并让企业能够继续负责任地采用人工智能技术。

行业专用框架

人工智能系统带来了现有技术治理框架无法应对的风险。这些风险包括算法偏差、决策过程透明度不足、网络安全漏洞，以及系统与数据之间的复杂依赖关系。大型语言模型（LLMs）引发担忧，因为其行为往往难以解读或预测。与具有确定性的传统软件不同，人工智能的输出结果会因上下文而异。

金融机构本就受制于广泛的监管，且已有包括NIST人工智能风险管理框架在内的一系列通用指南。然而，将通用框架应用于金融机构的运营时，往往缺乏反映行业实践和监管预期的细节。FS AI RMF被定位为NIST框架的延伸，其中包含额外的行业特定控制措施和实用的实施指南。

本指南阐述了企业如何评估其当前的人工智能成熟度，并实施控制措施以限制风险。其目标是促进一致且负责任的人工智能实践，并支持该行业的创新。

核心结构

《金融服务人工智能风险管理框架》将人工智能治理与已影响金融机构的更广泛治理、风险和合规流程相衔接。

该框架包含四个主要组成部分。第一部分是人工智能采用阶段问卷，可帮助组织确定其人工智能应用的成熟度。第二部分是风险与控制矩阵，其中包含一套与采用阶段相匹配的风险陈述和控制目标。《指南》阐述了框架的应用方法，而独立的《控制目标参考指南》则提供了控制措施及支持性证据的示例。

该框架共定义了230项控制目标，这些目标根据从更广泛的NIST人工智能风险管理框架中借鉴的四个职能进行组织：治理、映射、衡量和管理。每个职能包含若干类别和子类别，用于描述有效的人工智能风险管理和治理要素。

评估人工智能成熟度

采用阶段问卷用于确定组织使用AI的程度。例如，有些企业仅在有限的应用场景中依赖传统预测模型，有些则在核心业务流程中部署AI，还有些仅在面向客户的角色中使用AI。

该问卷帮助组织确定其在当前AI应用光谱中的位置，评估因素包括AI的业务影响、治理安排、部署模式、第三方AI供应商的使用情况、组织目标以及数据敏感性。

基于此评估，组织被划分为四个AI采用阶段：

• 初始阶段：组织几乎或完全未部署运营级AI。AI可能正在考虑中，但尚未嵌入业务。
• 基础阶段：在低风险领域或孤立系统中有限度地使用AI。
• 发展阶段：组织运行更复杂的AI系统，包括涉及敏感数据或外部服务的应用。
• 嵌入阶段：AI在业务运营和决策中发挥重要作用。

这些阶段有助于机构将精力集中在与其成熟度水平相适应的控制措施上。处于早期阶段的企业无需立即实施所有控制措施，但随着人工智能的日益融合，该框架将引入额外控制措施以应对不断加剧的风险。

风险与控制

人工智能应用各阶段的控制目标涵盖治理和运营方面的内容，包括数据质量管理、公平性与偏见监测、网络安全控制、人工智能决策过程的透明度以及运营韧性。

本指南提供了可行的控制措施示例，以及机构可用于证明其合规性的证据类型。各机构必须确定最适合自身的控制措施。

该框架建议制定针对人工智能系统的专门事件响应程序，并建立中央存储库以追踪人工智能事件，这些流程将有助于组织及时发现故障并逐步完善治理体系。

可信人工智能

该框架纳入了可信人工智能的原则，包括有效性与可靠性、安全性、安全保障与韧性、问责制、透明度、可解释性、隐私保护以及公平性。这些原则为评估人工智能系统的整个生命周期提供了基础。简而言之，金融机构必须确保人工智能的输出结果可靠，系统能够抵御网络威胁，并且当决策影响客户或涉及监管时，能够对决策进行合理解释。