合规记录系统——人工智能与人类并肩工作

作者：Jonathan Brun, CEO

当我们在2008年刚创办Nimonik时，收到了一家大型矿业公司的功能请求。他们要求我们建立可审核的书面记录，记录他们为遵守不断变化的法律法规所做的努力。公司不仅想要法律清单或法律更新，更希望确保他们在检查所有更新，标记变更，并建立良好意图和作为良好企业公民努力的证据。这种对可审核纸质记录的承诺，确保信任和持久性，正是我们现在所称的合规记录系统的基础。

记录决策过程一直是Nimonik工作的核心。如今，借助人工智能，建立健全的合规记录系统比以往任何时候都更为重要。建立审核追踪是应对人工智能工具及其快速部署所引发的日益严重的问责危机的必要步骤。

合规领域正在迅速变化。治理、风险与合规（GRC）解决方案分析师Michael Rasmussen恰如其分地描述了合规解决方案的转变。他概述了大多数合规解决方案基于创建工作流程和工具，供人类处理数据、准备文件和签署决策。

这种方法可能有效，但资源消耗巨大，且常常表现为被动反应。员工会被分配任务，填写表格，安排跟进任务，并在截止日期临近前紧急结清项目。大型语言模型（LLMs）正在推动从被动合规向主动合规的转变。在Nimonik，我们同意Michael的看法，认为合规的处理方式确实存在真正的转变，也应该重塑。迈克尔解释如下：

“如今大多数组织将治理、风险与合规（GRC）项目视为重症监护患者：持续监控，人工干预，且随时可能发生一次事件升级。这效率低下、令人疲惫，最终也无法持续。

稳态GRC系统（基于GRC 7.0——GRC Orchestrate）则不同。它是自我意识的。它能在信号失效前检测到微弱信号。它在规定的容差范围内调整行为。只有必要时才会升级。最重要的是，它让领导层能够专注于战略目标，而非无休止地“火拼”。资料来源

稳态GRC系统的目标是主动风险管理，但实现这一目标需要一个优先考虑可审核监督以降低AI固有风险的基础。

以人工智能为中心的方法来应对风险

IBM在1979年写过一句著名名言：“计算机永远无法被追究责任，因此计算机绝不能做出管理决策。”这比以往任何时候都更为真实，随着AI在生产环境中的部署竞赛，风险也随之而来。传统方法也存在风险，主要集中在人为错误或软件泄露，但人工智能引入了一类新的风险。

如此激进转变的风险在于，过多责任被赋予最终无法负责任的人工智能工具。本周，臭名昭著的管理咨询公司麦肯锡（Mckinsey）其内部人工智能工具Lilli遭到黑客攻击。部署人工智能工具的风险非常真实，Lilli黑客事件也指出了将过多逻辑外包给人工智能的风险。他们几乎所有的数据都以未加密的形式暴露。太过分了。

曝光内容：

• 4650万条聊天消息。来自使用该工具讨论战略、客户互动、财务、并购活动及内部调研的员工团队。每一段对话都存储在明文中，无需认证即可访问。
• 728,000个文件。192,000份PDF。93,000份Excel表格。93,000份PPT演示文稿。58,000个Word文档。仅文件名就很敏感，任何知道去哪里的人都可以直接下载。
• 57,000个用户账户。平台上的每一位员工。
• 拥有384,000名AI助手和94,000个工作区——这是公司内部AI使用的完整组织结构。资料来源

这次泄露的规模令人震惊，但这段话让我印象最深刻，

“无声坚持——与被攻破的服务器不同，修改过的提示不会留下日志痕迹。没有文件更改。没有工艺异常。AI只是开始表现得不一样，没人会注意到，直到伤害发生。”

在一个黑箱AI系统中，人类将内容创作和分析委托给AI工具，其背后的逻辑、计算和假设往往被隐藏。如果这种逻辑被破坏，发现错误非常困难，而且很可能会引发许多后续错误。这就是为什么将人工智能决策工具和助手与由有能力的人工人员进行验证流程，在整个过程中建立决策记录，变得如此关键。

这一问责要求正日益被法律化，更严格的法规要求可验证的人工监督，使得设计为“沉默持续”的系统变得不可接受。

为了解决这场问责危机并安全地支持人工智能增强，需要一项新的合规数据管理标准：合规记录系统。

合规记录系统

Nimonik 专注于帮助企业和政府获取和管理其监管要求、工程标准要求以及内部公司文件。寻找、更新和评估这些文件中的需求工作一直由人完成。然而，信息量的庞大往往让组织感到难以应对。一个典型的法规有数百项要求，而一家普通公司则需要遵守数百份甚至更多的文件。你可以自己计算。人工智能承诺能帮助处理这些信息并更高效地组织它们。

我们可以大致将当前的人工智能大型语言模型工具分为两类：

1. 能够做出决策和采取行动的智能人工智能，我们称之为自动化，并且
2. 增强型AI，协助你的工作，但不做最终决策。

虽然代理可以是强大的工具，但Nimonik认为由于其黑箱特性和不可预测性，风险足够高，不应在关键决策中广泛使用。Nimonik拒绝代理AI进行合规关键决策，因为它违反了核心问责要求，并引入不可接受的法律风险。Nimonik完全专注于增强型人工智能——这是利用人工智能实现合规的唯一负责任途径。

Nimonik坚信AI和大型语言模型在协助工程师和合规专家工作方面具有巨大潜力。然而，所做出的决策必须由有能力的人做出。为了确保AI生成内容与信息及决策之间有明确的分离，Nimonik专注于确保我们的法规和标准订阅平台确实是一个合规记录系统。

在合规的背景下，记录系统必须作为可审核决策的权威真理来源。记录系统被定义为，

“记录系统（SOR）是权威的、集中式的数据管理系统，作为特定关键业务数据的主要’真相来源’。它是权威、可信且通常也是唯一创建、维护和验证原始、最新数据（如客户、员工或财务记录）以确保数据完整性的地方。”Adobe

所有组织都将拥有无数的软件系统和数据托管地点。鉴于现代组织的复杂性，这几乎是不可避免的。挑战变得明显：有了人工智能，现在可以快速且低成本地创建内容。由于现在丰富的内容生成能力，越来越多的内容会出现，可能会淹没真实的人造信息。企业需要能够清晰区分人工智能内容、人工智能推荐、人类内容和人类验证。Nimonik采用的人工智能方法是人工智能与人类验证并存，但界限明确。管理层、审核员及其他相关方需要能够看到谁创建了、谁审核了、谁签字以及何时完成。决策必须由人类做，而非人工智能。

在Nimonik内部，我们正在构建一个合规记录系统，使客户能够跟踪其涵盖所有领域的监管要求——从环境健康安全（EHS）、网络安全到进出口法规——并管理其工程标准。公司需要跟踪团队成员关于法规和标准要求所做的决策，并确保这些决策及其理由确实由有能力的人做出。因此，Nimonik 跟踪并记录所有用户的所有行为，使管理员和相关方能够生成报告，展示持续且持续的合规努力。

未来迅速逼近，Nimonik 正与客户合作，确保为组织建立可审核的记录系统，确保其合规。