DAY 5 · 30 DAYS OF AI

「三個壞人」
其實是免疫系統

高階主管最愛抱怨的三個部門:IT(資訊)、法務、財務。Alex Lieberman 親眼看著一家上萬人的公司,從 3 月全面禁用 AI,到 5 月法務變成 AI 推手。這篇講他從那場反轉學到的事——別繞過這三個團隊,把他們變成英雄。

原創內容請參考原文: Day 5: The 3 Bad Guys — Alex Lieberman(@businessbarista)
三個拿著盾牌、天平與放大鏡的守護者,環繞保護一棟發光的辦公樓,外圍的尖刺物被擋開

tl;dr

IT、法務、財務說「不」,多半不是評估過風險——是根本沒有資訊可以評估。解法有兩個:先教育(讓他們看得到合約允許什麼、資料流去哪裡、支出換回什麼),再把速度變成治理指標(考核「多快放行一個安全的決定」,而非「擋下多少請求」)。看得清楚,他們就會跟你一樣快。

01

一場兩個月的反轉

一家約一萬人的公司,3 月把幾乎所有 AI 工具全面禁用。到了 5 月,這家公司的法務團隊反而成了 AI 之旅的英雄。Alex 全程看著反轉發生,也因此改變了他看待 IT、法務、財務的方式——這三個部門,高階主管私下愛叫他們「壞人」(the bad guys)。

3 月 幾乎所有 AI 工具全面禁用 中間發生了什麼? 教育 + 換掉考核指標 (Alex 從反轉中提煉的做法,見 04) 5 月 法務成了 AI 之旅的英雄

他常對 CXO 說的一句話

CXO 是 C 字輩高階主管的統稱(X 代表任意職能:執行長、財務長、資訊長⋯⋯)。Alex 總是提醒他們:

「你寧可跟『壞人』吵一場煩人的架,也不要出現在《華爾街日報》第二版。」《華爾街日報》(The Wall Street Journal)是美國最具影響力的財經報紙;「上了第二版」意思是公司醜聞被大篇幅公開報導。

為什麼這場反轉值得看

多數公司對「壞人」只有兩種反應:繞過他們(風險全裸奔),或被他們卡死(什麼都不能用)。這家公司走出了第三條路——而且只花了兩個月。

關鍵不在說服,在於把他們「看不到的東西」變成「看得到的東西」。後面兩節拆開講。

02

為什麼他們天生愛說「不」

這三個部門存在的理由只有一個:確保公司不會爆掉。具體來說,是擋住三種會讓公司直接出局的結局。

無力償債 財務在防

無力償債(insolvency)指公司付不出到期的債務,是破產的前一步。財務審每一筆支出,防的就是錢燒到回不來。

無法挽回的商譽損害 法務在防

違約、侵權、洩漏客戶資料——這類事故一旦上了媒體,信任賠掉就買不回來。法務逐條摳合約,防的是這個。

擋不住的惡意行為者 IT 在防

駭客、內鬼、外流的帳號權限。IT(資訊部門)控管每個工具與每筆資料的進出,防的是門戶洞開。

他們的誘因結構:上檔有限、下檔無限

「上檔」(upside)是一件事可能帶來的最大好處,「下檔」(downside)是最大壞處。把關的工作,兩邊極度不對稱:

上檔:把關做得好 流程順、沒出事——沒有人記得你 0 下檔:放行後出了事 資料外洩、罰款、上媒體、究責——賠到底

獎勵的天花板很低,懲罰的地板深不見底。任何理性的人坐在這個位置上,都會傾向說「不」。

而且,風險是真的

隨著更多員工拿到資料的存取權、AI 代理(agent,能直接執行動作而非只回答問題的 AI)開始接手過去只有人類能做的操作,公司同時暴露在全新的風險和古老的風險裡。

Alex 的原話:你不能怪他們——他們只是在理性地行動

但主管的擔心也合理

高階主管怕的是另一種爆炸:層層審核與沉重的官僚流程造成慣性,讓公司「死於顛覆」(death by disruption)——不是被對手打死,是被自己的流程拖死。

兩種恐懼都成立。所以問題從來不是「聽誰的」,是怎麼讓把關的人快起來。

03

「不」不是風險評估,是沒有風險評估

這是整篇文章最核心的一句話。這些團隊的「不」,幾乎從來不是一份做完的風險評估——而是「做不了評估」的結果。

法務 沒人能說清楚「合約允許什麼」 IT(資訊) 沒人能展示「資料流向哪裡」 財務 沒人能說明「支出換回了什麼」 結果 資訊真空 唯一負責任的答案 「不。」
注意因果方向。不是「他們保守,所以說不」;是「他們什麼都看不到,所以在一無所知的情況下,『不』是唯一負責任的答案」。把這句想通,解法就不再是去說服或施壓,而是去餵資訊——這正是下一節的兩個做法。
04

把壞人變英雄的兩個做法

那麼,主管該怎麼辦?Alex 的答案:你得想辦法讓 IT、法務、財務成為公司 AI 之旅的英雄。具體做法兩個。

1

教育他們

把「不知道」變成「看得到」:讓法務看得到合約條款允許什麼、IT 看得到資料實際流向哪裡、財務看得到每筆 AI 支出換回了什麼。

「不」的根源是資訊真空——先把真空填掉,評估才有原料。

2

把速度變成治理指標

治理(governance)是公司決定「誰能做什麼、怎麼核准、出事誰負責」的規則。換掉這些團隊的考核方式:看他們多快放行一個安全的決定,而非擋下了多少請求。

指標一換,整個部門的最佳策略跟著換。

為什麼換指標有效:同一批人,兩種最佳策略

同一批人 IT、法務、財務 舊指標 考核「擋下多少請求」 新指標 考核「多快放行安全決定」 最划算的行為 什麼都說「不」最安全 最划算的行為 盡快看清楚、盡快放行

人沒換、個性沒換,只換了「什麼叫做好」的定義。理性的人會自己走向新的最佳策略。

左:三個守護者在關閉的柵欄後抱胸站著,員工排隊等待;右:同樣三人打開柵欄,提著燈、揮手引導員工通過檢查拱門
同一批人,從「柵欄後的擋路者」變成「提燈引路的放行者」。差別只在他們看不看得到路。
05

他們是免疫系統

IT、法務、財務看過每一波技術浪潮造成的實際傷害——電商詐欺、雲端外洩、SaaS 帳單失控。對 AI 的戒心,是那些經驗的累積,不是針對你。

讀完這篇希望你能帶走的事

他們不是壞人,是公司的免疫系統。免疫系統失靈有兩種方式:太弱,什麼病原都放進來;過敏,連自己人都攻擊。直接繞過或壓制他們,你只是在兩種失靈之間選一種。

健康的做法是給免疫系統「看得清楚的工具」:合約允許什麼、資料流向哪裡、支出換回什麼。然後把「多快放行一個安全的決定」變成他們的成績單。

Alex 的收尾:給他們看清楚的工具,他們就會跟你一樣快。那家一萬人的公司,從全面禁用到法務當英雄,只花了兩個月。

名詞小抄

CXOC 字輩高階主管的統稱,X 代表任意職能:CEO(執行長)、CFO(財務長)、CIO(資訊長)⋯⋯
IT(資訊部門)Information Technology。管公司的系統、設備與資料安全;AI 工具要不要放行,第一關通常在這。
AI 代理(agent)不只回答問題、還能直接執行動作的 AI(寄信、改資料、下單)。動作權從人移到 AI,是新風險的主要來源。
治理(governance)公司決定「誰能做什麼、怎麼核准、出事誰負責」的規則與流程。
無力償債(insolvency)公司付不出到期債務,是破產的前一步。財務存在的理由之一,就是別讓公司走到這步。
上檔/下檔upside/downside。一件事可能帶來的最大好處/最大壞處。「上檔有限、下檔無限」=做好沒獎勵,做錯賠到底。
死於顛覆death by disruption。公司不是被對手打敗,而是因內部審核太慢,在技術轉變中被自己拖垮。
《華爾街日報》The Wall Street Journal(WSJ),美國最具影響力的財經報紙。「出現在第二版」指公司醜聞被大篇幅報導。
返回 Learn,看更多圖文好讀版
原創內容請參考原文 Day 5: The 3 Bad Guys by Alex Lieberman · Day 5 / 30 Days of AI · 中文重點整理 · 插圖由 Gemini 生成