AI 扩展计划 / Playbooks

AI Assurance / Safety Case Playbook

企业 AI 项目常见的失败, 不是因为团队没有原则, 而是因为原则没有变成证据。

801 行AI_ASSURANCE_SAFETY_CASE_PLAYBOOK.md

AI Assurance / Safety Case / Evidence Case Playbook

定位: 面向 AI Solutions Architect / AI PM / AI BA / Risk & Compliance 的 AI 可信性论证手册。目标是把“我们会负责任地使用 AI”这类原则口号, 转换成可审查、可追溯、可挑战、可复核的 evidence structure。

适用范围: 金融零售 AI use case, 尤其是 AML Copilot、KYC Policy Assistant、Credit Policy RAG、Customer Service Copilot、Payment Dispute Assistant。

重要说明: 本文是学习、作品集和内部治理训练材料, 不是法律意见、审计意见、合规结论、模型验证报告或安全认证。正式项目必须由 Legal、Compliance、Risk、Model Risk、Internal Audit、Security、Privacy、Data Owner 和业务管理层确认。

1. 为什么需要 AI Assurance Case

企业 AI 项目常见的失败, 不是因为团队没有原则, 而是因为原则没有变成证据。

弱表达通常是:

我们重视 responsible AI。
我们有 human-in-the-loop。
我们做过测试。
模型只用于辅助。
数据不会泄露。
用户可以自己判断。

检查者、审计者、CRO、CTO、董事会和监管方真正会问:

你主张这个系统可信, 具体可信在哪里?
这个主张适用于哪个业务范围、用户范围、数据范围和模型版本?
你用什么论证说明这些控制足够?
证据在哪里, 谁生成, 谁复核, 多久更新一次?
哪些风险仍然存在, 谁接受, 触发什么条件必须停止或整改?

AI Assurance Case 的作用, 是把可信性从口头承诺变成一个可审查的结构:

Use case scope
-> system boundary
-> risk tier
-> top-level claims
-> subclaims
-> arguments
-> evidence
-> assumptions
-> residual risk
-> sign-off
-> continuous monitoring

对于 AI PM / BA / Architect, 这是一种关键职业能力: 不只是推动 AI 上线, 而是能证明 AI 为什么可以在某个边界内上线, 为什么不能超出该边界, 上线后如何持续证明控制仍然有效。

2. 与既有学习资产的连接

本文不是替代既有 governance 文档, 而是把它们汇聚成一个可审查的 evidence pack。

连接文档	该文档解决什么	本手册如何承接
`docs/AI_REGULATORY_RESPONSE_PLAYBOOK.md`	把法规、监管信号、适用性判断、risk tiering、AI inventory、control mapping 转成监管响应机制	Assurance case 把 regulatory response 变成 claim、argument、evidence、residual risk 和 sign-off
`docs/AI_ARCHITECTURE_REVIEW_GATE_CHECKLISTS.md`	用 discovery、architecture、pilot、release、scale gate 评审 AI 系统是否能上线、监控、回滚、审计	Assurance case 接收 gate 产物, 把 C4、数据流、eval、control test、incident runbook 组织成证据链
`docs/AI_REGULATOR_EXAM_SIMULATION_PACK.md`	训练监管、内审、模型风险、安全、合规、审计委员会问询场景	Assurance case 是检查室回答的底层材料, 每个回答都能落到 claim、owner、evidence、test result 和 residual risk
`docs/AI_BOARD_AUDIT_COMMITTEE_GOVERNANCE_PACK.md`	把 AI initiative 转成 board / audit committee 能监督的 material risk、control effectiveness、residual risk、accountability	Assurance case 为董事会和审计委员会提供管理层 attestation 的证据基础

一句话定位:

Regulatory Response 说明外部要求和内部义务。
Architecture Review Gate 说明设计和上线门槛。
Regulator Exam Simulation 说明如何被追问。
Board Governance Pack 说明如何被监督。
AI Assurance Case 说明如何用证据证明“可以信任到什么程度”。

3. Source Anchors

以下官方来源作为学习锚点。本文引用它们的 assurance、risk management、governance、management system 思路, 不把它们简化成单一检查清单。

Anchor	Official link	在本文中的用法
GOV.UK Introduction to AI Assurance	https://www.gov.uk/government/publications/introduction-to-ai-assurance/introduction-to-ai-assurance	用于理解 AI assurance 的目标: 帮助建立 justified trust, 并用 evidence 证明 AI 系统或声明是可信的
NIST AI Risk Management Framework	https://www.nist.gov/itl/ai-risk-management-framework	用 Govern / Map / Measure / Manage 的风险管理视角组织 AI assurance case 的治理、范围、度量和处置
NIST AI RMF Generative AI Profile	https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence	用于 GenAI 特有风险, 如幻觉、grounding、数据泄露、误用、内容风险、供应链和评测
ISO/IEC 42001	https://www.iso.org/standard/42001	用 AI management system 的视角组织责任、政策、生命周期、控制、持续改进和管理层承诺

使用纪律:

不把 anchor 当作法律结论。
不只摘录概念, 要转成 artifact、owner、evidence 和 review cadence。
每个高影响 use case 都记录 source version、access date、适用性判断和审批记录。
任何监管义务、合规判断和审计结论都必须由正式职能确认。

4. Assurance 基础概念

4.1 Trust、Trustworthiness、Justified Trust

概念	中文理解	在 AI 项目中的误区	正确用法
Trust	信任, 即某个 stakeholder 愿意依赖系统输出或团队声明	把用户或管理层“愿意用”当成系统真的可靠	作为结果指标观察: 采用率、人工覆盖、投诉、override、信任校准
Trustworthiness	可信性, 即系统在特定上下文中具备可靠、安全、合规、公平、可解释、可监控等性质	把模型品牌、供应商声誉或 benchmark 分数当成可信性	用系统属性和控制证明: 数据、权限、评测、日志、安全、人工监督、变更控制
Justified trust	有依据的信任, 即信任程度与证据、风险、使用边界相匹配	让用户过度相信 Copilot, 或让管理层低估残余风险	明确“可以信任什么、不可以信任什么、证据支持到什么程度、何时必须升级或停用”

AI assurance 的关键不是制造更多信任, 而是校准信任:

Under-trust  -> 好系统没人用, 价值无法实现。
Over-trust   -> 用户自动采纳错误输出, 客户、合规和运营风险放大。
Justified trust -> 用户知道何时依赖、何时质疑、何时升级。

4.2 Assurance Case、Safety Case、Evidence Case

类型	关注点	典型问题	适合场景	常见失败
Assurance case	对某个系统或能力的可信性提出结构化主张, 并用论证和证据支撑	“在这些边界内, 这个 AI 系统是否足够可靠、合规、安全、可运营?”	高影响 AI、监管敏感 AI、企业级 AI 平台	只有证据清单, 没有明确 claim 和 argument
Safety case	Assurance case 的一种, 重点关注伤害、事故、安全边界和失效控制	“这个系统是否不会造成不可接受的伤害? 失效时如何保护人和业务?”	医疗、交通、工业、金融客户权益、支付、欺诈、信贷、AML 高影响场景	只看技术安全, 忽视业务伤害、客户影响和人工误用
Evidence case	证据包或证据索引, 重点是收集、组织、映射证据	“有哪些材料能证明我们做了控制、测试、审批和监控?”	审计准备、监管问询、release gate、供应商审查	堆材料, 但无法说明证据是否足以支持主张

一句话区分:

Evidence case 证明“我们有什么材料”。
Assurance case 证明“这些材料为什么足以支持这些主张”。
Safety case 证明“在这些风险和失效模式下, 系统不会造成不可接受的伤害”。

4.3 Claims-Arguments-Evidence 结构

AI assurance case 的最小结构是 CAE:

元素	作用	示例
Claim	可被审查和挑战的主张	“AML Copilot 在 pilot 范围内不会自动关闭告警或提交 SAR。”
Subclaim	支撑主张的子主张	“所有 case disposition 仍由持牌或授权 analyst 在 case management system 中完成。”
Argument	说明为什么 evidence 足以支持 claim 的推理	“架构层面没有 disposition API 写权限; UI 明示 draft-only; 抽样日志显示 AI 输出只进入草稿字段。”
Evidence	可检查的证据	架构图、RBAC 测试、API 权限矩阵、trace log、human review sample、release gate sign-off

好 claim 的标准:

有范围: 哪个 use case、用户、数据、模型版本、地区、流程阶段。
可验证: 能找到证据支持或反驳。
可挑战: 审计、风险、安全、业务能提出反例。
有责任人: claim owner 和 evidence owner 明确。
有时效: 证据不过期, 监控能发现偏离。

弱 claim 与强 claim 的对比:

弱 claim	问题	强 claim
“系统很准确。”	没有任务、样本、阈值、错误代价	“在 2026-Q3 AML pilot 的 sanctions false-positive explanation 任务中, Copilot 对 approved policy source 的引用准确率达到 95% 以上, 且 high-risk mismatch 触发人工复核。”
“有人类监督。”	不知道谁监督、监督什么、是否有效	“所有 AI 生成的 SAR draft 在提交前必须由 L2 AML reviewer 审批; 2026-06 抽样 100 个 case, 100% 保留 reviewer decision、edit diff 和 evidence citation。”
“不会泄露数据。”	绝对化, 不可证明	“系统通过 RBAC、tenant isolation、PII masking、egress control 和 no-training contract term 降低未授权披露风险; 最近一次 access test 未发现 pilot 用户越权访问非分配 case。”

5. AI Assurance Case Reference Model

每个高影响 AI use case 至少应具备以下对象。它们不是文档章节的机械顺序, 而是 assurance case 的数据模型。

对象	要回答的问题	关键字段	责任角色
Scope	本 case 覆盖什么, 不覆盖什么	use case、业务流程、用户群、地区、客户类型、渠道、版本、时间窗口	PM / Business Owner
System boundary	AI 系统边界在哪里	upstream systems、RAG sources、model/vendor、tools、APIs、logs、human workflow、downstream systems	Architect
Risk tier	风险级别如何判断	materiality、客户影响、监管义务、自动化程度、数据敏感性、可逆性、third-party dependency	Risk / Compliance
Claims	顶层可信性主张是什么	claim id、claim statement、scope、owner、review date	PM / Risk / Architect
Subclaims	顶层主张如何拆解	accuracy、groundedness、privacy、security、human oversight、fairness、explainability、rollback	PM / BA / Architect
Arguments	为什么这些证据足以支持主张	argument pattern、control rationale、coverage、limitations、counterexample handling	Risk / Architect / BA
Evidence	证据在哪里	artifact name、link/path、owner、date、version、sampling method、retention	Evidence Owner
Assumptions	论证依赖哪些前提	policy stable、source completeness、user training completed、vendor terms unchanged、traffic pattern similar	PM / Architect / Risk
Residual risk	控制后仍有哪些风险	risk statement、severity、likelihood、owner、decision、review trigger、mitigation	Risk Owner
Sign-off	谁批准什么	approver、role、decision、conditions、expiry、exception	Governance Forum
Monitoring	上线后如何持续证明	metrics、thresholds、alerts、control tests、sampling cadence、incident trigger、retirement rule	Ops / Risk / Architect

5.1 Reference Flow

1. Define scope
2. Draw system boundary
3. Classify risk tier
4. Select claims from claims library
5. Decompose claims into subclaims
6. Write arguments for each claim
7. Map evidence and identify gaps
8. Record assumptions and residual risk
9. Review sufficiency with PM / BA / Architect / Risk
10. Sign off pilot or release with conditions
11. Monitor claim drift and evidence freshness

5.2 Assurance Case 的最小合格标准

一个可提交的 case pack 至少能回答:

问题	合格回答应包含
AI 到底做什么?	draft / retrieve / classify / recommend / execute 的边界, 不用“辅助”一笔带过
谁最终负责?	human owner、business owner、risk owner、technology owner
用了哪些数据和知识?	data lineage、source approval、freshness、权限过滤、保留策略
为什么输出可依赖?	eval report、golden set、groundedness test、error analysis、human review sample
为什么不会越权?	RBAC、API permission、tool allowlist、access test、segregation of duties
出错会怎样?	failure modes、impact、detection、escalation、rollback、customer remediation
哪些风险仍然接受?	residual risk register、acceptance owner、expiry、review condition
上线后如何证明还有效?	monitoring dashboard、sample review、incident history、change control、periodic assurance review

6. 金融零售 AI 场景

6.1 AML Copilot

维度	内容
AI 作用边界	汇总 alert、交易模式、KYC profile、历史 case notes; 生成 investigation summary、red flag checklist、SAR draft
AI 不应做	自动关闭 alert、自动提交 SAR、绕过 analyst 判断、替代 AML policy 解释权
主要风险	漏掉 suspicious pattern、引用错误证据、生成看似合理但无依据的 narrative、analyst 过度采纳、监管检查证据不足
核心 claims	输出必须引用 case evidence; 所有 disposition 由 analyst 完成; high-risk alert 必须人工复核; 日志可重建输出上下文
关键证据	eval report、SAR draft sample review、case trace logs、RBAC test、policy mapping、incident history、reviewer calibration record

示例顶层 claim:

在 2026-Q3 AML pilot 范围内, AML Copilot 只提供 evidence-cited draft 和 investigation assistance, 不自动作出 case disposition 或 regulatory filing decision; 对 high-risk alert 的最终判断仍由授权 AML analyst 和 reviewer 完成。

6.2 KYC Policy Assistant

维度	内容
AI 作用边界	检索 KYC / CDD / EDD policy, 解释材料要求, 生成缺口清单, 辅助 onboarding 或 periodic review
AI 不应做	独立决定客户风险等级、跳过 EDD、忽略 sanctions / PEP 命中、改变正式政策
主要风险	过期政策、错误解释、地区政策混用、低估 EDD 触发条件、用户把回答当审批结论
核心 claims	只检索 approved policy source; citation mandatory; freshness SLA 被监控; 高风险政策问题必须升级
关键证据	source inventory、policy freshness log、groundedness test、user training record、exception workflow sample、access test

示例顶层 claim:

KYC Policy Assistant 在已批准政策库内回答 KYC 操作问题, 并以政策引用和生效日期支撑答案; 它不产生客户风险评级审批结论。

6.3 Credit Policy RAG

维度	内容
AI 作用边界	检索 credit policy、产品规则、reason code guidance, 辅助 credit analyst 或 operations 生成政策引用和拒绝原因草稿
AI 不应做	自动批准或拒绝信贷、替代 adverse action reason 决策、使用未授权变量推断敏感属性
主要风险	错误政策引用、不完整解释、fair lending 风险、客户权益影响、reason code 不准确
核心 claims	RAG sources 受控; reason code mapping 经过测试; human approval mandatory; bias / fairness monitoring 在 release gate 前完成
关键证据	adverse action review sample、fairness analysis、policy retrieval eval、human approval log、model/vendor record、data lineage

示例顶层 claim:

Credit Policy RAG 只为授权人员提供政策检索和解释草稿, 所有信贷决策、客户通知和 adverse action reason 仍由既有信贷流程和授权人员确认。

6.4 Customer Service Copilot

维度	内容
AI 作用边界	帮助客服检索政策、生成答复草稿、总结客户历史、建议下一步处理
AI 不应做	直接承诺赔付或费用减免、泄露客户数据、替代投诉升级或监管投诉流程
主要风险	错误承诺、未授权访问、隐私泄露、客户误导、投诉升级
核心 claims	客户数据按权限过滤; high-risk topic 触发 supervisor review; 回答基于 approved source; 所有客户发送内容可追溯
关键证据	transcript sample review、PII masking test、access test、topic escalation log、source freshness dashboard、complaint trend

示例顶层 claim:

Customer Service Copilot 只为客服生成内部草稿和知识检索建议, 面向客户的最终回复由客服人员确认, 高风险主题按规则升级。

6.5 Payment Dispute Assistant

维度	内容
AI 作用边界	汇总 dispute case、交易记录、chargeback reason、证据材料, 辅助生成处理建议和客户沟通草稿
AI 不应做	自动拒绝客户 dispute、自动发起资金划转、绕过 card network / payment scheme 规则
主要风险	错误拒绝、遗漏时限、误用规则、资金损失、客户投诉、操作越权
核心 claims	payment scheme rule source 可追溯; deadline monitoring 不依赖模型自由判断; payment action 需要系统权限和人工审批; dispute decision 可审计
关键证据	rules source inventory、deadline control test、case sample review、API permission matrix、rollback/adjustment log、customer impact analysis

示例顶层 claim:

Payment Dispute Assistant 可以生成 dispute analysis 和沟通草稿, 但不能独立执行资金动作或最终拒绝客户争议; 所有 case decision 均保留规则引用、人工审批和审计日志。

7. Claims Library

Claims library 是可复用主张库。实际项目不能照搬, 必须按 use case scope、risk tier、数据和流程改写。

Claim domain	Claim statement 模板	适用证据	常见反问
准确性	在定义任务、样本和阈值内, 系统输出达到上线门槛, 且错误类型已分析并处置	eval report、golden set、error analysis、human review sample	样本是否代表真实工作? 高影响错误是否单独统计?
Groundedness	系统关键回答必须基于 approved source, 并提供可核验引用	groundedness eval、citation audit、source inventory、trace logs	引用是否真的支持结论? 检索不到时是否拒答?
权限	系统只能访问当前用户、角色、case 和业务目的允许的数据与工具	RBAC matrix、access test、tool allowlist、API permission test	是否能通过 prompt injection 绕过权限? 日志是否暴露敏感数据?
隐私	系统按 purpose limitation、data minimization、retention、masking 和 vendor terms 控制个人信息	privacy assessment、data lineage、PII masking test、retention policy、vendor DPA	哪些数据进入模型? 是否用于训练? 跨境和保留如何控制?
安全	系统对 prompt injection、data exfiltration、tool misuse、secret leakage 和 abuse 有预防、检测和响应	threat model、red-team report、security test、incident runbook、gateway policy	red-team 是否覆盖业务攻击路径? 是否有 kill switch?
人工监督	高影响输出必须由明确角色复核, 人工有足够信息、权限和时间承担责任	workflow design、approval log、edit diff、training record、override analysis	人工是否只是 rubber stamp? 复核质量如何抽样?
公平性	对受保护或敏感人群可能产生差异影响的输出已评估、监控并有整改机制	fairness analysis、impact assessment、reason code review、complaint data	是否使用 proxy variable? 数据不足时如何处理?
可解释	关键输出能说明依据、限制、置信边界和升级条件	explanation rubric、sample review、policy citation、user interface evidence	用户能否理解这是草稿? 错误解释如何纠正?
可回滚	模型、prompt、RAG index、policy source 和 workflow change 可版本化、回滚和停止	version registry、rollback test、change log、deployment record、stop rule	回滚是否包含知识库和 prompt? 谁能触发停用?
供应商	第三方模型、数据、工具和云服务经过风险评估、合同控制、SLA 和退出计划	vendor record、SOC report、DPA、model card、SLA、exit plan	vendor model change 是否通知? subprocessor 如何管理?
成本 / SLO	系统在目标业务量下满足 latency、availability、cost per case 和 operational capacity	load test、cost dashboard、SLO report、capacity plan	成本超阈值是否影响用户行为? 降级模式是什么?
用户影响	系统对客户、员工、运营和投诉的影响被监控, 并有纠偏机制	adoption dashboard、complaint trend、quality review、customer impact analysis	是否只看效率, 忽略客户伤害和员工过度依赖?

7.1 Claim 写作公式

For [use case + scope + version],
the system [does / does not do something material],
within [risk boundary / workflow boundary],
because [controls and arguments],
as evidenced by [evidence set],
subject to [assumptions and residual risk].

示例:

For the KYC Policy Assistant pilot used by onboarding analysts in the US small-business segment,
the system provides policy retrieval and checklist drafting but does not approve customer risk ratings,
because it has no write access to the KYC decision field, all answers require policy citation,
and EDD-trigger topics route to supervisor review,
as evidenced by the architecture boundary diagram, RBAC test, groundedness eval, workflow sample review,
subject to the assumption that the approved policy source inventory remains current within the 5-business-day SLA.

8. Evidence Mapping

Evidence mapping 的核心问题不是“有没有材料”, 而是“这些材料是否足以支撑某个 claim”。

Evidence type	证明什么	最低质量要求	失效信号
Eval report	输出质量、任务表现、错误类型、上线门槛	有任务定义、样本来源、评分 rubric、阈值、错误分析、版本	只有总准确率, 没有高影响错误和样本代表性
Red-team	对抗性输入、越权、注入、泄露、误导和滥用风险	覆盖业务攻击路径、记录 prompt、结果、修复、复测	只测通用 jailbreak, 未测真实工作流和工具调用
Trace logs	能重建输入、检索、模型输出、工具调用、用户动作	有 request id、user/case id、source ids、model/prompt/index version、timestamp	日志缺少版本或检索证据, 无法复现争议输出
Policy control	政策要求已映射到流程、系统和控制	有 policy clause、control owner、system implementation、test evidence	控制描述停留在原则, 没有系统或流程落点
Human review sample	人工监督是否真实有效	有抽样方法、reviewer、decision、edit diff、错误类型、整改	只记录“已复核”, 看不到复核质量
Incident history	上线后问题、投诉、异常和整改	有 severity、root cause、containment、remediation、claim impact	incident 与 assurance case 脱节, 没有触发重新评审
Model / vendor record	模型、供应商、合同、版本和变更可管理	有 provider、model version、terms、data use、SLA、change notice、exit plan	vendor 更新模型后内部没有回归测试
Data lineage	数据来源、授权、变换、保留和质量可追溯	有 source owner、classification、purpose、refresh、retention、quality checks	RAG index 来源不清, 文档过期或权限混杂
Access test	用户和系统只能访问授权数据和工具	有 test cases、roles、negative tests、tool permission、evidence screenshots/logs	只测正常访问, 不测越权、跨 case、离职用户

8.1 Evidence Sufficiency Levels

Level	状态	说明	是否可用于 release
L0 Missing	无证据	claim 只是口头声明	不可用于高影响上线
L1 Documentary	有文档	有政策、设计或流程描述, 但没有测试或执行记录	可用于 discovery, 不足以 release
L2 Tested	有测试	有评测、访问测试、安全测试或样本复核	可用于 pilot, 需明确限制
L3 Operational	有运行证据	有生产或准生产日志、监控、抽样、incident record	可支持受控 release
L4 Independently Challenged	被独立挑战	Risk、Security、Model Risk、Internal Audit 或第三方验证过	支持高影响扩张和审计委员会汇报

8.2 Evidence Mapping 示例: AML Copilot

Claim	Argument	Evidence	Sufficiency
Copilot 不自动关闭 AML alert	系统无 disposition write API; UI 输出进入 draft section; analyst 在 case system 完成 disposition	C4 container diagram、API permission matrix、access test、case log sample	L3
SAR draft 有证据引用	prompt 要求 citation; RAG 只检索 approved case evidence; 抽样检查 citation 支撑 narrative	groundedness eval、SAR draft sample review、source id trace logs	L2-L3
高风险 case 有人工复核	workflow 强制 L2 reviewer approval; review log 记录 edit diff 和 decision	workflow config、approval logs、human review sample	L3
残余幻觉风险被接受并监控	仍可能出现 unsupported statement; 通过拒答、citation audit 和 sample review 降低风险	residual risk register、weekly citation audit、incident trigger	L2-L3

9. PM / BA / Architect / Risk 分工

Assurance case 不是 Risk 一个人写, 也不是 Architect 一个人补图。它是跨角色共同构建的可信性论证。

角色	主要产出	典型问题	不应越界
AI PM	价值、用户、边界、上线门槛、成功指标、客户 / 员工影响、adoption 与 stop rule	这个 use case 为什么值得做? AI 做到什么程度才算成功? 哪些输出不能让 AI 做?	不单独承诺合规充分性或安全充分性
AI BA	AS-IS / TO-BE 流程、异常路径、人工节点、政策映射、证据字段、操作规则、样本复核表	哪些步骤改变了? 哪些例外必须升级? 每个证据字段在哪里产生?	不把“用户会判断”当作控制
AI Architect	系统边界、数据流、模型 / RAG / tool 架构、trace、权限、控制实现、监控、回滚	数据从哪里来? 模型调用如何被网关控制? 输出如何复现? 如何停用?	不把架构控制写成业务风险接受
Risk / Compliance	risk tier、控制充分性挑战、residual risk、policy interpretation、approval condition、review cadence	哪些风险超出 appetite? 哪些控制需要独立测试? 谁接受剩余风险?	不替 PM 定义业务价值, 不替 Architect 设计系统
Security / Privacy	threat model、red-team、PII 控制、访问控制、数据保留、incident response	攻击者如何滥用? 敏感信息如何泄露? 检测和响应是否可执行?	不只给通用安全清单, 要连接业务工作流
Internal Audit / Model Risk	independent challenge、control testing、model / AI lifecycle review、evidence sufficiency	管理层声明是否有证据? 控制是否运行? 抽样是否可复现?	不替业务接受风险

9.1 RACI 示例

Assurance object	PM	BA	Architect	Risk / Compliance	Security / Privacy
Scope	A/R	C	C	C	C
System boundary	C	C	A/R	C	C
Risk tier	C	C	C	A/R	C
Claims	A/R	R	R	A/R	C
Evidence mapping	C	R	R	A/R	R
Residual risk	C	C	C	A/R	C
Monitoring	A/R	C	R	A/R	R

R = Responsible, A = Accountable, C = Consulted。

10. Assurance Review Workflow

10.1 Discovery Review

目标: 判断是否值得进入正式 design。

输入:

Opportunity brief。
初步 scope。
materiality screening。
初步 system boundary。
初步 claim list。

输出:

continue / refine / stop。
risk tier 初判。
evidence gap list。
禁止自动化或禁止上线边界。

10.2 Pilot Readiness Review

目标: 判断是否可以小范围试点。

输入:

system boundary diagram。
eval report。
red-team summary。
data lineage。
access test。
human review workflow。
draft residual risk register。

输出:

pilot approval with conditions。
pilot user / data / volume limit。
monitoring thresholds。
incident and stop rule。

10.3 Release Assurance Review

目标: 判断是否可以生产发布或扩大范围。

输入:

updated assurance case。
pilot results。
operational logs。
sample review。
incident history。
residual risk decision。
sign-off memo。

输出:

release / limited release / no-go。
accepted residual risk。
control owner attestation。
next review date。

10.4 Quarterly Assurance Refresh

目标: 判断 claim 是否仍然成立。

触发条件:

model / vendor / prompt / RAG index / policy source 重大变更。
incident、投诉、监管问询、审计发现。
data drift、cost spike、latency breach、quality decline。
扩大用户、地区、客户类型或自动化程度。

刷新动作:

重新检查 assumptions。
更新 evidence freshness。
重跑关键 eval 和 access test。
复核 residual risk。
更新 board / audit committee reporting。

11. 14 天 Lab: AML 或 KYC Assurance Case Pack

目标: 14 天内完成一个可转作品集的 AML Copilot 或 KYC Policy Assistant assurance case pack。建议选择一个场景贯穿到底, 不要中途换题。

Day	任务	Artifact
1	选择 AML 或 KYC 场景, 写清业务目标、用户、流程阶段和不做范围	Use Case Scope Brief
2	画 system boundary: upstream、AI components、RAG sources、model/vendor、tools、logs、downstream、human workflow	System Boundary Diagram + Boundary Notes
3	做 risk tiering: 客户影响、监管义务、自动化程度、数据敏感性、可逆性、供应商依赖	Risk Tiering Memo
4	从 claims library 选 8-10 个 claims, 改写成场景化 claim	Claim Set v1
5	为每个 claim 拆 2-4 个 subclaims, 覆盖 accuracy、groundedness、权限、隐私、安全、人工监督、回滚	Claim Decomposition Table
6	写 argument: 为什么控制组合足以支持 claim, 并列出反例和限制	Argument Notes
7	建 evidence inventory: eval、red-team、logs、policy、human review、vendor、data lineage、access test	Evidence Inventory
8	设计 eval plan: golden set、rubric、threshold、high-impact error、reviewer calibration	Eval Plan + Scoring Rubric
9	设计 red-team 和 access test cases: prompt injection、越权、错误政策、过期文档、敏感信息	Red-Team & Access Test Pack
10	设计 human review sample: 抽样方法、review form、edit diff、decision quality、escalation	Human Review Sampling Plan
11	写 residual risk register: 风险、控制、剩余风险、owner、接受条件、review trigger	Residual Risk Register
12	写 monitoring plan: 指标、阈值、owner、频率、alert、stop rule、quarterly refresh	Monitoring & Stop Rule Plan
13	汇总 Assurance Case Canvas 和 Claim-Argument-Evidence Table	Assurance Case Pack v1
14	写 Assurance Review Memo, 用 CTO / CRO / Audit Committee 视角自问自答并修订	Final Assurance Review Memo

11.1 14 天完成标准

最终 pack 至少包括:

1 页 Assurance Case Canvas。
1 张 system boundary。
1 份 risk tiering memo。
8-10 条场景化 claims。
1 张 Claim-Argument-Evidence Table。
1 份 Evidence Sufficiency Checklist。
1 份 Residual Risk Register。
1 份 Assurance Review Memo。
1 页面试表达稿。

作品集表达:

我没有只写“AI 要负责任”, 而是把 AML/KYC AI 系统拆成 scope、risk tier、claims、arguments、evidence、assumptions、residual risk 和 monitoring。这个 pack 可以支持 release gate、审计问询和董事会风险汇报。

12. 模板 1: Assurance Case Canvas

区域	填写内容
Use case	场景名称、业务目标、用户、流程阶段
AI role	draft / retrieve / classify / recommend / execute 中的角色
Not AI role	明确 AI 不做什么, 哪些决策仍由人或既有系统完成
Scope	地区、客户类型、数据范围、用户组、渠道、版本、时间窗口
System boundary	upstream systems、AI components、model/vendor、RAG sources、tools、logs、downstream systems
Risk tier	materiality、客户影响、监管义务、数据敏感性、自动化程度、可逆性
Top claims	5-10 条最重要主张
Key evidence	eval、red-team、trace logs、policy control、human review、vendor、data lineage、access test
Assumptions	政策、数据、用户行为、供应商、流量、控制有效性的前提
Residual risk	剩余风险、owner、接受条件、review date
Sign-off	business、risk、technology、security、privacy、legal / compliance where applicable
Monitoring	指标、阈值、抽样、alert、incident、stop rule、quarterly refresh

13. 模板 2: Claim-Argument-Evidence Table

Claim ID	Claim	Subclaim	Argument	Evidence	Sufficiency	Owner	Review trigger
C-01	AI 不自动作出最终业务决策	无 write permission; UI 标注 draft-only; workflow 强制人工审批	架构、权限和流程共同限制 AI 行为, 因此 AI 输出不能绕过人工决策	C4 diagram、RBAC test、workflow config、approval log sample	L3	Architect / BA	API permission change、workflow change
C-02	输出基于 approved source	RAG source inventory 受控; citation mandatory; 检索不到时拒答或升级	如果输出必须引用已批准来源且抽样验证引用支撑结论, groundedness 风险可控	source inventory、groundedness eval、citation audit、trace logs	L2-L3	BA / Data Owner	policy source refresh、citation error spike
C-03	高影响 case 有有效人工监督	reviewer 看到 AI 依据、原始证据和限制; review log 记录 decision 和 edit diff	人工不是形式审批, 因为 reviewer 有信息、权限和审计记录	review workflow、sample review、edit diff、training record	L3	PM / Ops Owner	rubber-stamp rate、review backlog
C-04	系统可停止和回滚	model、prompt、index、policy source 版本化; gateway 支持 kill switch	出现重大错误或 incident 时可以恢复到已知安全状态	version registry、rollback test、gateway config、incident runbook	L2-L3	Architect / SRE	model change、incident、latency breach

使用方法:

每条 claim 至少有一个可检查 evidence。
每个 evidence 有 owner、date、version。
每个 argument 要承认限制, 不写绝对安全。
sufficiency 低于 L2 的高影响 claim 不应进入 release。

14. 模板 3: Evidence Sufficiency Checklist

检查项	Yes / No	说明
Claim 是否有明确 scope、版本和业务边界	Yes	没有 scope 的 claim 不能审查
Evidence 是否直接支撑 claim, 而不是只证明团队做过工作	Yes	例如 training record 不能单独证明 human oversight 有效
Evidence 是否包含 date、owner、version、sample method	Yes	缺少这些字段会降低审计价值
是否覆盖正向测试和反向测试	Yes	access control 必须测越权失败
是否覆盖高影响错误, 而不只是平均准确率	Yes	金融场景要单独看客户伤害和监管义务
是否有独立挑战或复核	Yes	高影响 release 至少需要 Risk / Security / Model Risk 的 challenge
Evidence 是否可复现	Yes	trace、version、source id、prompt / index version 要能重建输出
Evidence 是否仍然新鲜	Yes	供应商、政策、模型、索引变化会让旧证据过期
Evidence gap 是否进入 residual risk	Yes	缺口不能藏在附录, 要有人接受或整改
Monitoring 是否能发现 claim drift	Yes	上线后 claim 可能因数据、用户、供应商、政策变化失效

15. 模板 4: Residual Risk Register

Risk ID	Residual risk statement	Related claim	Existing controls	Residual severity	Owner	Decision	Review trigger
RR-01	Copilot 仍可能生成 unsupported statement, analyst 若未检查引用可能造成 case narrative 质量下降	Groundedness	citation requirement、groundedness eval、sample review、training	Medium	AML Ops Owner	Accept for pilot with weekly citation audit	citation error > 3%, SAR rework spike, examiner finding
RR-02	Vendor model behavior change 可能改变回答风格或拒答率	Vendor / accuracy	model registry、vendor notice、regression eval、gateway routing	Medium	Technology Owner	Accept with regression gate before model upgrade	vendor release notice, quality drop
RR-03	用户过度依赖 AI 草稿, 导致人工监督弱化	Human oversight	reviewer training、edit diff monitoring、rubber-stamp metric	Medium-High	Business Owner	Mitigate before scale	edit rate abnormally low, review time collapse
RR-04	RAG source refresh 延迟导致 KYC policy answer 引用旧政策	Groundedness / policy	source owner SLA、freshness dashboard、stale source block	Medium	Data Owner	Accept with 5-business-day SLA	policy change, stale source alert

Residual risk 写作纪律:

不写“风险很低”这种无证据判断。
写清楚剩余风险是什么, 不是重复原始风险。
每个 residual risk 必须有 owner 和 review trigger。
风险接受要有时间限制, 不做永久接受。

16. 模板 5: Assurance Review Memo

# [Use Case] Assurance Review Memo

## 1. Decision Requested

请求批准 [pilot / limited release / production release / scale]。

Decision options:
- Approve with conditions
- Defer pending evidence
- Reject / stop

## 2. Scope and Boundary

- AI role:
- Not AI role:
- Users:
- Customer / case scope:
- Geography:
- Model / vendor / version:
- Data and knowledge sources:
- Downstream systems:

## 3. Risk Tier and Materiality

- Risk tier:
- Customer impact:
- Regulatory / policy sensitivity:
- Data sensitivity:
- Automation level:
- Reversibility:

## 4. Top Claims

| Claim ID | Claim | Sufficiency | Owner |
|---|---|---|---|
| C-01 |  |  |  |

## 5. Evidence Summary

| Evidence | What it proves | Date / version | Owner | Gap |
|---|---|---|---|---|

## 6. Residual Risks

| Risk ID | Residual risk | Decision | Owner | Review trigger |
|---|---|---|---|---|

## 7. Conditions for Approval

- Condition 1:
- Condition 2:
- Condition 3:

## 8. Monitoring and Stop Rule

- Key metrics:
- Thresholds:
- Sampling:
- Incident triggers:
- Stop rule:
- Next review:

## 9. Recommendation

Based on the current scope, evidence sufficiency, residual risk decision, and monitoring plan, the recommendation is [approve / limited approve / defer / stop].

填写要求:

每个空格都必须填实际内容或明确写“不适用, 原因是...”。
recommendation 不得只写“建议批准”, 必须带条件。
evidence gap 必须转入 approval condition 或 residual risk。

17. 面试表达

17.1 30 秒版本

AI assurance 的核心不是说“我们负责任”, 而是把可信性拆成可审查的 claim、argument 和 evidence。比如 AML Copilot, 我会先界定 AI 只做 evidence-cited draft, 不做 case disposition; 然后用 eval report、red-team、trace logs、RBAC test、human review sample 和 residual risk register 证明这个边界有效。这样 PM、BA、Architect、Risk 和审计委员会讨论的是同一套证据, 而不是抽象原则。

17.2 2 分钟版本

我会把 AI assurance case 当成高影响 AI 上线前后的证据结构。第一步是 scope 和 system boundary: AI 做什么、不做什么、用哪些数据、调用哪些模型和工具、输出进入哪个人工流程。第二步是 risk tiering: 看客户影响、监管义务、数据敏感性、自动化程度、可逆性和供应商依赖。第三步写 claims, 例如准确性、groundedness、权限、隐私、安全、人工监督、公平性、可解释、可回滚、供应商和 SLO。第四步为每个 claim 写 argument 和 evidence, 例如 eval report、red-team、trace logs、policy control、human review sample、incident history、model/vendor record、data lineage 和 access test。最后记录 assumptions、residual risk、sign-off 和 monitoring。这样系统不是一次性通过评审, 而是持续证明 claim 仍然成立。

17.3 CTO 深挖

CTO 可能问: “技术上怎么保证 case 可复现、可回滚、可监控?”

回答要点:

我会要求所有关键输出有 request id、user id、case id、source ids、model version、prompt version、RAG index version、tool call 和 timestamp。
通过 model gateway 统一控制模型、工具、日志、策略和成本。
prompt、RAG index、policy source、模型版本和权限配置都进入 change control。
release gate 前做 regression eval、access test、red-team 和 rollback test。
上线后用 quality、groundedness、latency、cost、incident、override 和 user behavior 指标监控 claim drift。
如果供应商模型变更或 quality threshold breach, 自动触发 limited mode、rollback 或 kill switch。

一句话:

我不会只问模型准不准, 我会设计一条从请求、检索、推理、工具调用、人工决策到审计日志的可复现链路。

17.4 CRO 深挖

CRO 可能问: “哪些风险还没被消除, 为什么可以接受?”

回答要点:

我会区分 original risk、control effect 和 residual risk, 不把控制存在等同于风险消失。
residual risk register 会写清风险表述、影响、控制、剩余严重度、owner、接受条件和 review trigger。
高影响风险必须有业务 owner 和 risk owner 共同接受, 并设置 expiry date。
对客户权益、AML、KYC、credit、payment dispute 等场景, 我会单独看 false negative、false positive、unsupported claim、policy mismatch、privacy leakage 和 human overreliance。
如果 evidence sufficiency 不够, 我会建议 limited pilot 或 defer, 而不是用培训材料掩盖证据缺口。

一句话:

我会让管理层明确知道: 我们接受的不是“AI 风险”, 而是在特定边界、控制、监控和停止条件下的剩余风险。

17.5 Audit Committee 深挖

Audit Committee 可能问: “管理层怎么证明控制真的运行?”

回答要点:

我会把 board-level claim 连接到底层 evidence: eval、red-team、access test、human review sample、incident history 和 monitoring dashboard。
每个 claim 有 owner、evidence owner、review date 和 freshness requirement。
对关键控制做抽样, 例如 SAR draft 是否有引用、reviewer 是否编辑过、越权访问是否失败、policy source 是否最新。
incident 和 audit finding 会触发 assurance case refresh, 而不是只进入项目问题清单。
管理层 attestation 只基于可检查证据, 不基于 vendor 宣传或团队自信。

一句话:

审计委员会需要的不是更多 AI 术语, 而是可抽样、可复现、可追责、可升级的控制证据。

18. 常见误区与修正

误区	为什么危险	修正方式
把 model benchmark 当作 assurance case	benchmark 不等于业务流程中的可信性	结合真实任务、数据、用户、权限、人工流程和错误代价评测
把 human-in-the-loop 当万能控制	人工可能 rubber stamp, 也可能缺少证据和时间	设计 review UI、edit diff、抽样、培训、override 和质量指标
把供应商合规声明当内部证据	供应商控制不能替代机构自身责任	建 vendor record, 但仍做内部 use case risk assessment 和 control test
只收集文档, 不写 argument	审计者无法判断材料是否支撑主张	每条 claim 写清为什么证据足够, 还有什么限制
只在上线前做 assurance	模型、数据、政策、用户行为都会变化	设置 monitoring、quarterly refresh 和 event-driven review
绝对化承诺“不会出错”	AI 风险无法被绝对消除	写 residual risk、control limitation 和 stop rule
忽略用户影响	效率提升可能伴随客户伤害或员工过度依赖	把 complaint、appeal、override、quality、adoption 和 trust calibration 纳入监控

19. 作品集转化建议

如果把本文转成求职作品集, 建议做一个 8-12 页的 case pack:

封面: “AML Copilot Assurance Case Pack” 或 “KYC Policy Assistant Assurance Case Pack”。
一页 business context: 业务目标、用户、AI role、not AI role。
一页 system boundary: 数据、模型、RAG、工具、日志、人工流程。
一页 risk tiering: materiality、客户影响、监管义务、数据敏感性。
两页 claims library: 8-10 条场景化 claims。
两页 CAE table: claim、argument、evidence、sufficiency、owner。
一页 residual risk register。
一页 monitoring and stop rule。
一页 executive assurance review memo。
一页 interview talk track。

作品集标题可以强调:

From Responsible AI Principles to Auditable Assurance Evidence

面试中你要表达的差异化能力:

你懂 AI 产品价值, 但不会让价值叙事压过风险证据。
你懂 BA 流程和异常路径, 能把人工监督设计成真实控制。
你懂架构边界和 traceability, 能让 AI 输出可复现、可监控、可回滚。
你懂风险和审计语言, 能把 residual risk 讲给 CRO 和 Audit Committee。

20. 一页速记

AI Assurance Case =
可信性主张 + 论证 + 证据 + 剩余风险 + 持续监控

不要问:
“我们有没有 responsible AI?”

要问:
1. 我们主张 AI 在什么边界内可信?
2. 这个主张由哪些子主张支撑?
3. 为什么这些控制足够?
4. 证据在哪里, 谁负责, 是否新鲜, 是否可复现?
5. 哪些风险仍然存在, 谁接受, 何时复核?
6. 上线后如何发现 claim 不再成立?

最终判断标准:

如果监管、内审、CRO、CTO 或 Audit Committee 随机挑一条 AI 可信性声明,
团队能在 10 分钟内拿出 scope、argument、evidence、owner、residual risk 和 monitoring,
这才是可运营的 AI assurance。