果热科技新闻资讯频道上线,持续更新 AI 交付实践
新闻资讯 / 正文

企业 AI 采购正在失去边界:先建立一张“AI 资产负债表”

7 月 8 日,美国国家标准与技术研究院(NIST)发布了一份供应链尽职调查快速指南。它并非专门针对 AI,却恰好击中了今天企业 AI 落地中一个越来越难回避的问题:**当 AI 被嵌入办公软件、业务系统、开发工具和外部服务后,企业究竟还知不知道自己正在使用什么、依赖谁,以及风险最终由谁承担?**

企业级新闻 发布时间:2026-07-12 10 分钟阅读
企业通过 AI 资产负债表梳理模型、数据、工具、供应商与责任链
AI 资产负债表让分散的模型、数据、工具和供应商依赖变得可见、可追踪。

7 月 8 日,美国国家标准与技术研究院(NIST)发布了一份供应链尽职调查快速指南。它并非专门针对 AI,却恰好击中了今天企业 AI 落地中一个越来越难回避的问题:**当 AI 被嵌入办公软件、业务系统、开发工具和外部服务后,企业究竟还知不知道自己正在使用什么、依赖谁,以及风险最终由谁承担?**

为什么传统软件台账管不住 AI

过去采购一套系统,边界通常比较清楚:供应商是谁、部署在哪里、处理哪些数据、合同何时到期。

AI 改变了这种确定性。

一套企业软件可能在版本升级后增加生成式 AI;一个内部应用可能同时调用多个模型;一个 Agent 可能连接搜索、知识库、CRM 和支付工具;模型提供者还可能调整版本、上下文策略、数据保留方式或安全能力。企业购买的已经不是一个静态产品,而是一组不断变化的模型、数据、工具和外部依赖。

因此,很多组织表面上有采购流程,实际上存在三类“看不见的 AI”:

NIST 的 AI 风险管理实践明确建议,企业应在 AI 系统清单中识别预训练模型,并把第三方模型与组件纳入持续风险跟踪。其生成式 AI 风险管理文件还提出,可把采购尽调、软件物料清单、服务等级协议和鉴证报告用于第三方透明度与风险管理。

这意味着,企业要管理的不是“买了哪些 AI 工具”,而是“哪些业务结果正在依赖哪些 AI 供应链”。

  • **嵌入式 AI**:藏在原有 SaaS、办公套件和行业软件里,没有以独立项目进入审批;
  • **组合式 AI**:由模型、插件、数据源、工作流平台共同组成,任何单一供应商都无法代表完整风险;
  • **二次采购 AI**:外包商、集成商或业务服务商在交付过程中使用 AI,甲方并未直接购买模型,却仍可能承担数据、知识产权和客户影响。

一张真正有用的 AI 资产负债表,应该记录什么

“资产负债表”不是财务意义上的会计报表,而是一种管理视角:既看到 AI 带来的业务资产,也同时确认与它绑定的责任和依赖。

每一个 AI 用例至少应回答六个问题。

1. 它创造什么业务价值

不要只记录产品名称和许可证数量。应明确它服务于哪个流程、影响哪个业务指标、由谁对结果负责。没有业务所有人的 AI,很容易长期停留在“有人使用、无人经营”的状态。

2. 它实际由什么组成

记录应用、模型及版本、数据源、外部工具、集成商和关键开源组件。对于 Agent,还应标明它能读取什么、能执行什么、能否触发外部动作。

3. 数据去了哪里

需要区分输入数据、检索数据、日志、反馈数据和供应商可能保留的数据,并说明存储区域、保留周期、训练使用政策以及删除机制。仅有一句“企业数据不会用于训练”,不足以覆盖完整的数据生命周期。

4. 企业依赖供应商提供什么证据

模型能力说明、限制条件、安全测试、版本发布记录、事件通报机制、审计材料和下游合规文档,都应成为可追踪的证据,而不是售前阶段的一次性演示。

欧盟委员会对通用人工智能模型提供者的指南特别强调,模型提供者需要向下游 AI 系统提供者交付有关模型能力和限制的信息。这说明“供应商是否愿意提供可用证据”,正在成为企业选型的一部分。

5. 变化发生时谁来响应

AI 服务会变化。企业需要约定模型重大升级、功能改变、子处理方变化、数据政策调整和安全事件发生时的通知方式,以及企业是否拥有测试、暂停、回退或退出的权利。

6. 如果停止使用,能否安全退出

退出能力经常被忽略。企业应提前确认数据如何导出和删除、工作流如何迁移、历史记录如何保存、模型替换会影响哪些业务,以及由谁验证停用已经完成。

采购部门不该独自承担这项工作

AI 供应链治理很容易被误解为一项新的采购合规任务。但采购只能约定权利,无法独自判断真实业务影响。

更有效的做法,是让业务、IT、安全、法务和采购围绕同一张清单协作:

这种协作的关键,不是把所有 AI 都按最高风险管理,而是按用途和影响分级。一个内部文案助手与一个参与授信、招聘或客户承诺的系统,不应走同样的尽调深度和审批路径。

  • 业务部门说明价值、使用边界和错误后果;
  • IT 说明系统组成、集成关系和替换难度;
  • 安全部门审查数据流、权限和供应链风险;
  • 法务与采购把证据、通知、审计、事件响应和退出要求写入合同;
  • AI 治理负责人持续维护分类、状态和责任人,而不是项目审批后归档。

从“买产品”转向“购买可持续的可控性”

未来企业选择 AI 供应商,不能只比较模型效果、功能列表和单次报价,还要比较四种能力:

1. 能否解释其产品内部的模型、数据和第三方依赖; 2. 能否持续提供版本变化、安全事件和性能边界的证据; 3. 能否支持企业按风险配置权限、日志、保留和人工控制; 4. 能否在替换或退出时降低锁定成本。

真正专业的 AI 采购,不是要求供应商填一份越来越长的问卷,而是让关键承诺能够进入合同、进入运行监控,也进入退出方案。

距离 8 月 2 日已经不远。对于多数企业而言,现在最有价值的动作并不是立刻启动一场庞大的合规改造,而是先用两周时间完成一次 AI 资产盘点:从高影响业务出发,找出模型、数据、工具、供应商与责任人的真实关系。

当企业能回答“我们依赖哪些 AI、它们影响什么、变化时谁负责、退出时怎么办”,AI 才真正从分散采购的技术能力,变成可以被经营、被治理、也可以长期扩展的企业资产。

引用来源

以下公开资料用于支撑本文观点,便于读者进行可信校验。

  1. 2
    Manage——第三方 AI 技术与预训练模型的持续风险管理

    NIST AI RMF Playbook · 访问日期:2026-07-12

  2. 4
    Guidelines for providers of general-purpose AI models

    European Commission · 访问日期:2026-07-12

  3. 5
    AI Act regulatory framework and application timeline

    European Commission · 访问日期:2026-07-12

企业级新闻AI落地业务流程AI治理

继续阅读

了解更多 AI 交付实践与行业观察。

2026-07-11 企业级新闻

企业 AI 的下一个产品形态,不是聊天框,而是“行业工作台”

过去两年,许多企业认识 AI 的方式,是先给员工一个聊天框:写材料、查资料、做总结、生成代码。这个入口足够低门槛,也证明了模型的通用能力。

阅读全文
2026-07-10 企业级新闻

Physical AI 开始升温:企业不要只看机器人,先把“现场”变成可学习系统

过去一年,企业谈 AI 落地,主要围绕办公室里的知识工作:写方案、做分析、改代码、处理客服、生成内容、整理知识库。

阅读全文
2026-07-09 企业级新闻

AI 写得越来越快,企业真正要补的是“复核产能”

企业推进 AI 落地时,最容易被看到的是产出速度:文档生成更快,代码提交更多,客服回复更及时,销售方案初稿更快成形,经营分析也能在更短时间内出第一版。

阅读全文

希望持续关注企业 AI 落地实践?

可与我们沟通关注的行业和业务方向,持续了解相关交付方法、案例观察与能力更新。

沟通关注方向
果热科技
果热科技