编者按:进入2026年，ISACA Now博客开启新一年“数字信任”系列专题，聚焦塑造未来的关键议题。在本周的系列文章中，我们将目光投向IT治理从业者——以下五个问题，将在接下来的几个月里深刻影响你的工作方向。更多治理资源，请参见 ISACA 官网。

进入2026年，治理专业人士正身处一个加速演进、技术融合、责任边界模糊却要求更高的环境中。以人工智能为代表的新技术，早已不是边缘性的创新尝试，而是深度嵌入企业的核心业务流程、决策机制和客户体验之中。与此同时，监管要求在网络安全、数据隐私、人工智能、ESG以及运营韧性等多个维度持续扩展，不仅大幅提升了合规复杂度，也让企业高管面临更直接的个人问责压力。

在这样的背景下，治理的内涵正在超越传统的监督与控制，转向推动负责任的创新、维系数字信任，并确保组织在高速变化中仍能坚守伦理、法律和社会期待。以下五个问题，将定义2026年的治理议程，也将区分出那些真正做好准备的组织，与那些仍在被动应对的机构。

01 谁对AI治理负责？

这种责任能否经得起拷问？到2026年，AI将在大多数组织中全面落地，从信贷审批、欺诈识别，到人力管理、网络安全响应，无处不在。随着AI系统日益自主且彼此互联，一旦AI造成伤害、偏见或违反监管，谁该担责？这一问题将引发越来越多的关注。

目前，许多组织仍采用“责任分散”模式——由IT、数据、法务、风控和业务团队共同承担AI责任。虽然协作必不可少，但往往导致决策权不清、升级路径模糊。而监管机构和董事会则明确要求：责任必须清晰界定，监督必须可验证、可追溯。

治理专业人士需推动组织建立明确的AI问责架构：指定责任人、明确决策权限、设立有清晰章程的治理机构，并覆盖AI全生命周期——从数据采集、模型开发、部署上线，到持续监控与退役。尽管COBIT、ISO/IEC 42001（AI管理体系）和NIST AI风险管理框架（AI RMF）等标准提供了基础，但关键在于将责任真正落地执行，而非仅停留在纸面。

示例：某金融机构为每个高风险AI应用场景指定一名“AI系统负责人”，对其性能、合规性及伦理结果负全责。该角色定期向跨职能的AI治理委员会汇报，并将重大问题升级至企业风险管理部门乃至董事会。

02 如何在释放AI价值的同时，不损害数字信任？

AI带来的速度、规模和预测能力固然诱人，但也带来了新的信任挑战。当AI决策越来越深刻地影响客户、员工乃至公众时，治理者必须确保创新不会以牺牲透明度、公平性和隐私为代价。

其中，可解释性将成为关键议题。随着模型日益复杂，组织可能连内部都难以说清某个决策是如何得出的。然而，在受监管或高影响场景中，可解释性正迅速从“加分项”变为“硬性要求”。

治理专业人士需将信任原则直接融入AI治理体系：制定可接受使用政策、设定最低透明度门槛、明确人工干预机制，并建立伦理审查流程。ISACA的《数字信任生态系统框架》（DTEF）指出，信任源于治理、技术和文化三方面一致且可衡量的行为。2026年，无法证明自身AI值得信赖的组织，很可能遭遇监管阻力、客户流失甚至内部抵制。

示例：某公司规定，所有面向客户的AI决策系统必须通过可解释性评估，确保人类能在必要时理解、质疑并修正其输出结果。

03 我们的治理方式能否跟上合规复杂度的激增？

合规负担正以前所未有的广度和深度扩张。企业需同时应对来自网络安全韧性、隐私保护、AI监管、ESG披露和业务连续性等多领域的重叠要求，且常涉及多个司法管辖区。治理者面临的挑战是：如何在满足合规的同时，避免流程臃肿、效率低下和“治理疲劳”。

传统的“各自为政”式合规模式已难以为继。治理专业人士需推动一体化、基于风险的治理方法，将不同监管领域的政策、控制措施和报告机制有机整合。COBIT强调端到端治理，结合企业风险管理实践，有助于聚焦真正重大的风险，而非平均用力。

技术将成为关键助力：自动化控制监测、政策管理工具和集成化的GRC（治理、风险与合规）平台，可帮助组织规模化治理。但治理者必须警惕——自动化不应制造“虚假安全感”，而应服务于高质量决策。

示例： 一家跨国企业将AI治理、隐私控制和网络安全要求整合进统一的控制框架，既减少了重复工作，又提升了监管报告的一致性。

04 在高度互联的世界中，如何治理数字供应链风险？

现代企业运行于复杂的数字供应链网络之中——包括云服务商、AI供应商、数据平台和技术合作伙伴。治理者必须面对一个根本转变：风险不再局限于组织边界之内，但责任却始终落在自己肩上。

过去那种仅在供应商入驻时或每年一次的第三方评估，已无法应对动态、技术驱动的依赖关系。AI服务、持续数据交换和共享平台意味着，供应链任一环节的漏洞都可能迅速蔓延成系统性危机。

治理专业人士需倡导“持续性数字供应链治理”：整合实时监控、强化合同中的问责条款，并推动采购、技术、风控与合规职能更紧密协同。数字信任具有传递性——供应商的控制缺陷会直接放大本组织的监管风险和声誉损失。

示例：某企业对关键数字供应商的安全状况和AI实践进行持续监测，并将结果与自身风险偏好阈值挂钩，触发自动升级机制。

05 董事会是否具备治理技术驱动型风险与机遇的能力？

不久前，我在一次董事会上被战略委员会主席问道：“技术究竟是从什么时候开始主导我的业务战略的？”随着技术与战略日益融为一体，董事会正承受前所未有的压力——不仅要了解用了哪些技术，更要理解这些技术如何影响组织的韧性、信任基础和长期价值创造。

治理专业人士在此过程中扮演关键桥梁角色。董事会需要的是清晰、与决策相关的信息，而非关于AI风险、网络韧性或数字信任的技术细节。这要求我们重新思考信息呈现方式、风险沟通逻辑以及治理架构设计。

借助COBIT等框架，辅以面向董事会的绩效与监督实践，可将复杂的技术风险转化为战略层面的治理对话。2026年，优秀的董事会将从被动监督转向主动引领数字能力建设。

示例：某董事会每季度收到一份AI风险简报，内容紧扣企业整体风险偏好，涵盖新兴监管趋势及可能对战略产生重大影响的情景分析。

构建值得信赖的治理体系

2026年的治理挑战其实已经到来。AI问责、自动化决策的信任度、合规复杂性、数字供应链暴露以及董事会准备程度，将决定组织在未来几年是脱颖而出还是步履维艰。对治理专业人士而言，任务已不仅是套用框架或满足合规。更重要的是：及早提出正确的问题，构建兼具适应性、可辩护性和公信力的治理体系。唯有如此，才能帮助组织在加速数字化的世界中，既大胆创新，又稳守信任。

2026年前，治理专业人士应立即采取的五项务实行动：

1 先厘清责任，再扩大技术应用

确保每一项高影响力的数字化或AI赋能能力，都有明确的责任人，拥有清晰的决策权和升级权限。集体监督机制固然重要，但不能替代对结果的个体问责。

2 治理目标应是实际成效，而非合规文件

超越“有没有政策和控制”的检查清单思维，转而通过风险、信任和绩效指标，评估治理是否真正影响了现实中的行为、决策质量和组织韧性。

3 信任要内生于设计，而非事后补救

在系统和AI生命周期早期就嵌入透明度、可解释性、隐私保护和伦理考量。事后“打补丁”不仅成本高昂、干扰运营，而且往往效果有限。

4 对数字供应链实施持续治理

从定期评估转向对关键数字供应商、平台、数据提供方和AI服务伙伴的持续、基于风险的监督。数字信任越来越依赖整个生态，而不仅是内部控制。

5 投资于人才、技能与治理能力

面向未来的治理，依赖于既懂新兴技术、又理解风险与企业决策的专业人才。可考虑ISACA提供的培训与认证体系——包括COBIT、CRISC、CGEIT、CDPSE，以及聚焦AI的进阶认证，如AI审计专家认证（AAIA）、AI安全管理专家认证（AAISM）和AI风控专家认证（AAIR）——以系统性提升组织驾驭信息与技术治理的信心与能力。