前言：邁向可持續發展的管理新紀元

在全球氣候變遷與數位轉型的雙重挑戰下，企業管理系統正經歷前所未有的典範轉移。從 ISO 9000 系列到最新的 ISO 42001 人工智慧管理系統，國際標準化組織正積極回應當代最迫切的兩大議題：如何實踐可持續性管理，與如何規範快速發展的人工智慧技術。本文將深入探討 ISO 管理系統標準的最新發展趨勢，及人工智慧國際規範的完整架構，為產業界提供前瞻性的策略指引。

一、ISO 管理系統的四大演進趨勢

● 趨勢一：氣候承諾納入核心管理

ISO 組織已對氣候變遷做出明確承諾，要求所有管理系統標準都必須因應氣候變遷需要，進行必要的風險與機會管理。這項承諾源自於 TCFD（氣候相關財務揭露）的核心理念，要求企業建立高階治理機構、將氣候風險納入策略考量、設立可行的目標與指標，並對利害關係人進行適當揭露。

目前包括 ISO 9001、14001、27001、45001、50001 在內，以及航天、汽車、軌道等行業別標準，將近 30 多部標準都正在進行修訂，以向氣候變遷看齊。即將於 2026 年發布的 ISO 9001 新版，將首度要求涵蓋氣候變遷的風險評估。值得注意的是，新版本保持高度延續性，應用範圍仍聚焦於產品、服務與客戶滿意度，證書持有者只要在年度監審中實踐新要求即可，無需換證或提前複評。

● 趨勢二：風險與機會的系統性管理

未來所有 ISO 管理系統標準的修訂，共同強調風險跟機會必須被完整識別、有效實踐、積極因應與妥善採用。這不僅是防範風險，更要把握每個機會來實現組織目標。改版標準要求對利害關係人的需求與期望加入氣候變遷因素，每次變革的評估要涵蓋完整性、可行性與持續改善成效，因應風險的行動要更加務實，對於機會的掌握與行動也要同等重視。

● 趨勢三：領導統御與組織文化強化

新版標準大幅強調領導統御的重要性，用許多附錄說明如何因應氣候變遷、強化品質文化與倫理行為。善用領導統御，透過塑造組織文化和提升員工認知來執行管理系統，不管是品質系統、環境管理系統或其他任何管理系統，都應強調組織文化的建立，讓管理不只是制度，更是組織 DNA 的一部分。

● 趨勢四：創新科技的導入與管理

國際標準修訂的第四大趨勢是創新必須融入所有管理系統。在全球數位轉型浪潮下，創新已成為企業競爭力與永續發展的核心驅動力。然而，新興科技的發展也帶來嚴峻挑戰。近年來，AI 技術被用於詐騙犯罪的案例急遽增加，從深度偽造的語音電話到逼真的視訊詐騙，連具有高度警覺性的專業人士都可能受騙。這些案例深刻提醒我們：運用新興科技必須極度謹慎，建立完善的管理機制，避免技術被用於不當目的。這正是 ISO 42001 人工智慧管理系統標準如此重要的核心原因。

● 循環經濟：從永續邁向真正的循環

當前商業模式正從傳統的成本效益思維，進化到強調 ESG 的可持續性商業模式，但這並非終點。由法國標準協會主導 ISO 59000 家族已於 2024 年 5 月發布三項關鍵標準：ISO 59004（詞彙、原則、實施指引）、ISO 59010（商業模式轉型）、ISO 59020（循環度衡量與評估），描繪了更進階的商業模式藍圖。

循環經濟模式包含五大理念：一、強化資源循環，發揮最大效益；二、去物質化，以軟體替代硬體降低成本；三、閉環管理，避免資源洩漏與浪費；四、延長產品與材料壽命；五、簡化資源運用，以更少投入達成相同效益。

下圖為法國標準協會在 2018 年提出的循環經濟管理系統概念，可用 3 × 7 矩陣來理解。縱軸包含七大策略：永續採購（ISO 20400）、生態設計（ISO 14006）、資源與服務共享、功能經濟（從賣產品到賣服務）、負責任消費、延長壽命，以及廢棄物管理。橫軸則是管理系統的標準邏輯：承諾、評估內外部情境、制定政策、設立目標、執行行動計畫、建立指標，最後透過 PDCA 循環進行查核與改善。

二、管理系統實踐的五大挑戰與對策

根據法標國際對全台灣 3,000 多家企業、每年近 20,000 個稽核人日的觀察結果，當前管理系統實踐仍存在顯著改善空間：

● 挑戰一：形式化的「寫你所做，做你所寫」

傳統稽核概念過度強調文件一致性，但每個人撰寫方式不同，且文件未必適用於他人。真正應聚焦的是：是否有一致的管理準則與流程順序？

● 挑戰二：職能與當責機制不足

無論全職或兼職，人員是否具備足夠職能與明確責任，這才是管理系統的關鍵。當責（Accountability）應成為核心要求。

● 挑戰三：知識管理缺口

在人才匱乏、人員異動頻繁的時代，組織普遍未能有效保存工作知識、人脈知識與方法技巧。法標國際要求員工平時就留下解決問題的知識資產，這是應對人員異動的最佳策略。

● 挑戰四：運作透明性不足

組織常看不到自身問題，因此無法當責解決。第三方驗證機構如法標國際的專業監督審核，能以公正角度指出管理系統運作的不足，提醒主管同仁未盡當責之處，這對提升管理透明度至關重要。

● 挑戰五：風險推演不夠務實

風險管理重在防範未然，推演是否務實直接影響風險降低的成效。不務實的推演無法真正保護組織。

三、人工智慧監管的迫切性：三大警示案例

● 深度偽造的社會危害：

川普被深度偽造成教宗形象的案例，顯示 AI 技術可以製造完全背離事實的內容，讓觀看者失去安全感並充滿不確定性。這種技術若無監管，將嚴重威脅社會信任基礎。

● AI 犯罪的精密化：

現代 AI 犯罪手法極其精密，不僅有圖有真相，還準備好合約、提供多人現身說法。當受害者身在其中時，很難辨別真偽。這些都是 AI 合成生成的結果，凸顯監管的必要性。

● 違法蒐集與誤判風險：

Clearview AI 公司從網路違法蒐集臉部圖像建立資料庫，並販售給檢警單位。結果導致許多臉部相似的無辜者被傳訊甚至起訴。荷蘭法院已對該公司裁罰數千萬歐元，凸顯 AI 應用必須受到嚴格監管。

除了合規性，AI 的有效性同樣需要監管。例如運算邏輯錯誤造成的結果不應由消費者承受；蘋果 Siri 因將用戶通話內容提供給廣告商而遭集體訴訟；家用設備如冰箱、電視、冷氣號稱具備 AI 功能，但算力不足導致使用者無法確認 AI 是否真正運作。這些案例都說明 AI 有效性管理的重要性。

四、AI 監管的雙重視角：外部期望與內部需求

● 外部利害關係人的六大期望

從外部觀點，所有 AI 利害關係人期望組織符合六大原則：

1）合規性：遵守相關法規要求

2）AI 信任標章：類似產品認證概念，證明 AI 經過測試與有效管控

3）AI 管理系統：確保 AI 治理能夠持續改善

4）適切工具與技術：擁有真正治理 AI 的能力並定期評估

5）技術評估機制：建立持續檢視的機制

6）人員素質培訓：經常性培訓確保 AI 準確性與有效性

● 內部組織的五大管理動機

從內部角度，組織推動 AI 治理的動機包括：

1）避免違規裁罰：不希望因違反 AI 法規受罰

2）保護聲譽：避免因 AI 不道德或無效應用造成聲譽損失

3）風險與機會管理：因應所有風險的同時，把握每個機會

4）利害關係人壓力：特別是投資者，不希望因 AI 問題影響營運

5）競爭優勢：在供應鏈與同業中，AI 應用優秀者能獲得訂單優先權、降低成本、提高效益，更快將產品推向市場

五、國際 AI 標準體系架構

● ISO AI 標準化的核心架構

歐盟是 AI 標準化的全球領導者，已發布多項關鍵技術報告與標準：

▸ISO／IEC TR 17894：AI 合格評定標準，建立五層級認證架構：

－第一層：認證主管機關遵守 ISO 17011

－第二層：各類認證準則（檢驗、測試、校正等）

－第三層：驗證機構遵守的國際標準

－第四層：行業別補充規定（如 ISO 42006 針對 ISO 42001 的驗證要求）

－第五層：組織應用標準（如 ISO 9001、42001）

▸ISO／IEC 22989：規範 AI 名詞定義與生命週期

▸ISO／IEC 23894：AI 風險管理指南

▸ISO／IEC TR 17894：AI 合格評定標準，建立五層級認證架構：

▸ISO／IEC 5338：AI 生命週期與作業流程，對具備 IT 與軟體工程基礎者特別實用

▸開發中的標準：

－ISO 42007：合格評定指南，與 TR 17894 相互呼應

－ISO 42003：ISO 42001 實施指南（尚未發布）

● 歐盟 AI 法規：全球最完整的規範框架

歐盟 AI 法規是目前最完整的 AI 規範，採取風險分級管理：

1. 禁止級風險：AI 不得操縱人類、剝削弱勢或操控社會。通過 ISO 42001 即代表通過此項考驗。

2. 高風險級：AI 對使用者基本權利或組織經營安全性有侵害者，需嚴格管控。

3. 有限風險級：消費者互動或生成式 AI，需做到供應透明。

4. 最低風險級：無特別義務。

生成式 AI 的特殊規定：

▸ 無系統性風險：確保導入的有效性與保密性，進行持續教育訓練

▸ 有系統性風險：當浮點運算每秒超過 10 ^ 25 次方時，由 EU AI 辦公室認定。除透明性外，需監督使用並進行特定事件回報

通用 AI（GPAI）認定標準：浮點運算通常需超過 10 ^ 23 次方。若接近 10 ^ 25 次方，則可能造成系統性風險，需特別監督。

▲ EU AI Act 法案時間軸。圖片來源：https://edge.aif.tw/the-impact-of-the-eu-ai-act-on-taiwans-industry/

● 台灣 AI 規範現況

數位發展部於 2023 年根據美國 NIST 標準，提出 AI 十大要求：1. 韌性、2. 準確性、3. 當責性（開發者及使用者都須負責）、4. 安全性（資訊安全）、5. 可解釋性（使用者能理解 AI 邏輯）、6. 公平性（平等使用權益與培訓機會）、7. 資料隱私性、8. 透明性、9. 可靠性、10. 系統安全。

數發部原本希望推動 AI 評測中心架構：認證機構統籌 AI 測試實驗室與驗證機構，開發評測工具並進行測試。然而推展至今遭遇瓶頸，主要原因是缺乏足夠的測試標準與規範。2023 年至今，可供實驗室沿用的測試標準仍然有限，因為許多國際規範仍在研發中。因此，建立 AI 信賴不應僅依賴信任標章，而需透過多元方法讓 AI 成為可信賴的應用，其中 ISO 42001 管理系統認證是最務實的途徑。

六、ISO 42001：可信賴 AI 的實踐基石

ISO 42001 人工智慧管理系統標準，是將 AI 導入組織治理的核心框架。它不僅要求合規性，更強調有效性、透明性、當責性與持續改善。組織通過 ISO 42001 認證，必須具備以下基本條件：

1. 建立完整的 AI 治理架構：包含政策、目標、職責與權限

2. 實施風險評估與機會識別：針對 AI 應用進行系統性評估

3. 確保 AI 生命週期管理：從開發、部署到退役的完整管控

4. 人員職能與培訓機制：確保相關人員具備必要知識與技能

5. 透明性與可追溯性：建立 AI 決策過程的記錄與解釋機制

6. 持續監督與改善：透過內部稽核與管理審查確保系統有效運作

結語：擁抱標準化，邁向可信賴 AI 時代

在氣候變遷與數位轉型的雙重壓力下，ISO 管理系統標準正朝向四大趨勢演進：氣候承諾、PDCA 循環深化、創新科技導入，以及循環經濟實踐。這些趨勢不僅回應了可持續性管理的需求，更為組織持續改善提供了明確路徑。

人工智慧的快速發展帶來巨大機遇，也伴隨前所未有的風險。深度偽造、AI 犯罪、違法資料蒐集等案例顯示，AI 監管已是刻不容緩的任務。國際社會透過 ISO 42001 等標準體系、歐盟 AI 法規，以及各國規範，正逐步建構完整的 AI 治理框架。對企業而言，實踐可信賴 AI 不僅是法規遵循的要求，更是獲取競爭優勢、贏得利害關係人信任的關鍵策略。透過導入 ISO 42001 人工智慧管理系統，組織能夠系統性地管理 AI 風險、確保 AI 有效性，並在快速變化的技術環境中保持競爭力。

法標國際認證作為第三方公正機構，將持續協助企業提升管理系統透明度，強化 AI 治理能力，共同邁向可信賴 AI 的新時代。在這個充滿挑戰與機遇的轉型期，擁抱國際標準化，就是擁抱永續發展的未來。

※ 文章及圖片參考來源：法標國際認證「ISO 與可信賴 AI 標準的相關發展」AI 研討會