選單
企業 AI 導入與治理

企業 AI 專案誰負責?從業務 Owner 到資安法務的 RACI 分工

發布 2026-07-14・更新 2026-07-14・ALLinAI 商學院編輯部

AI 專案失敗常不是模型不夠強,而是責任沒有被說清楚:業務期待技術團隊決定用途,技術團隊等待資料,資安與法務直到上線前才被通知。RACI 可以把 Responsible、Accountable、Consulted、Informed 四種責任寫進每項交付,但一張表不能取代真正有權決策的人。

先分清四個字母

  • R 負責執行:實際完成工作,可以有多個。
  • A 最終負責與批准:對結果承擔責任,通常每項只有一個。
  • C 諮詢:在決策前提供專業意見,必須有雙向溝通。
  • I 知會:接收結果或變更資訊,不負責批准。

若每一格都是所有人,RACI 就失去作用。尤其要避免沒有 A,或把外部供應商寫成公司內部風險的唯一 A。

七個常見角色

業務與流程 owner

定義工作問題、允許用途、基準、價值與人工接手,通常是使用情境是否值得繼續的 A。先完成AI 使用情境一頁簡報,讓責任對應具體工作。

產品或專案負責人

整合範圍、時程、需求、風險、決策與交付,確保每個未解問題有人負責,不代替資料、資安或法務作專業批准。

資料 owner

批准資料來源、用途、權限、品質、更新與刪除。資料工程師可以負責管線,但不應默認擁有業務資料的批准權。

技術與平台團隊

負責架構、整合、版本、測試、容量、監控與回復,說明技術限制與依賴。NIST AI RMF 的 actor 說明把設計、開發、部署、營運與治理視為不同工作,適合依專案規模拆角色。

資安、隱私與法務

依資料、威脅、契約與適用法律提供審查,對各自制度的例外接受要有明確權限。不能只在上線前收到通知,也不應讓他們替業務決定專案價值。

使用者與受影響代表

提供真實工作、例外與可用性回饋,參與測試與人機交接設計。高影響情境要考慮受影響者,而不只是付費部門。

供應商

對契約中的服務、安全、資料處理、事故與支援負責;公司仍要指定內部 owner 管理供應商與整體結果。

把 RACI 套到六個決策

  1. 情境與範圍:業務 A,專案 R,資料、技術、治理 C。
  2. 資料使用:資料 owner A,資料與技術團隊 R,隱私法務 C。
  3. 測試與門檻:業務或產品 A,技術與領域專家 R,治理 C。
  4. 正式上線:有授權的業務或治理主管 A,各控制 owner R。
  5. 事件處理:事件指揮 A,資安與系統團隊 R,法務、業務、供應商 C。
  6. 停用與退場:系統 owner A,技術、資料與採購 R,受影響部門 I。

這只是一般起點,實際 A 必須符合公司授權與專業要求。ISO/IEC 42001 說明 AI 管理系統需建立、實施、維護與持續改善,RACI 也應隨組織與系統變更複查,不是專案啟動時填一次。

RACI 會議的輸出

每項工作寫交付物、A、R、C、I、到期日、證據位置與升級路徑。把結果放入AI 系統清冊,事件則使用AI 事件紀錄模板。若角色沒有時間或權限執行,不能只在表上填名字,要降低範圍或補資源。

最後依AI PoC 到上線清單逐項確認 owner;沒有 A 的高風險控制,不應進入正式上線。

主要資料來源

想把 AI 真正放進你的工作與生意?

預約 30 分鐘企業 AI 導入健檢,或加入官方 LINE 收到下一場講座通知。

同主題延伸閱讀

企業 AI 導入怎麼開始?從需求盤點到正式上線的 6 階段路線圖

用六個階段把 AI 導入拆成可驗收的工作:找情境、盤資料、設治理、做 PoC、試營運與持續監控。

閱讀 →

AI PoC 題目怎麼選?用價值、就緒度與風險避開展示型專案

用可量化的工作問題與停止條件選 AI PoC,避免只做看起來厲害、卻無法進入日常流程的展示。

閱讀 →

企業生成式 AI 使用政策怎麼寫?12 項可落地檢查清單

從允許工具、禁止資料、人工複核到事故通報,建立員工看得懂、主管能執行的生成式 AI 使用規範。

閱讀 →

AI 供應商怎麼評估?採購前 15 項安全、資料與退場清單

把模型效果以外的資料用途、存取、事故、分包、驗證與退場條件納入 AI 採購。

閱讀 →