2026 年 3 月,新加坡资讯通信媒体发展局(IMDA)发布了 AI 代理治理框架——这是东南亚地区首份直接针对在受监管工作流程中执行实质性操作的自主系统的约束性指引。对于已将 AI 代理部署于 KYC 审核、交易拦截及 SAR 起草等合规流程的团队而言,该框架并非前瞻性愿景,而是当下的操作要求。问题不在于你们的 AI 代理是否在框架覆盖范围之内,而在于你们的文档记录、问责结构与技术控制措施,能否经得住监管检查。
框架的适用范围
IMDA 框架适用于在受监管流程中发起或完成具有实质性后果操作的 AI 代理,不是仅向人工审核人员提供建议的 AI 工具。这一区分在合规场景下意义重大。一个将交易标记以供人工审查的代理不在主要适用范围内;而一个能够自动拦截交易、清除 KYC 记录,或将 SAR 草稿提交给高级洗钱报告官(MLRO)进行单键审批的代理,则完全落入框架管辖。金融机构在采取任何其他行动之前,必须首先将每项代理部署与该判定门槛进行比对映射。
框架围绕三大支柱构建:风险界定、人员问责与技术控制。每个支柱均附有文档要求,新加坡金融管理局(MAS)检查员将视其为充分治理的证明材料。无法按需提供支柱层面文档的机构,将面临更高级别的监管关注——而不仅仅是整改发现。
支柱一:前置风险界定
在 AI 代理正式投入任何实质性合规工作流程之前,机构必须完成一份涵盖四项要素的风险界定文档:代理的具体用例及其被授予的决策权限、现实的错误模式(误报、漏报、训练分布之外的边界情形)、代理无法得出决策时的应急回退程序,以及决策出错后的补救路径。IMDA 未规定统一模板,但 MAS 658 号通知中关于技术风险管理的要求,已在实践层面界定了"充分"的标准。
"实质性"操作的判定门槛比许多机构预想的更为严格。一个对低风险零售客户在预设走廊内自动完成准入审批的 KYC 代理属于实质性操作。一个将警报抑制在校准阈值以下、使其直接从分析师队列中消失的交易监控代理,同样属于实质性操作。只要代理的输出可能导致客户被准入、资金被拦截或报告被提交——无需额外人工发起操作——风险界定要求即告适用。
支柱二:人员问责
IMDA 要求为每项部署于实质性工作流程的代理指定一名具名责任人。该责任人必须能够就代理所做的每项具体决策作出解释和承担责任——而不仅仅是对系统的整体表现负责。这一要求远高于模型层面的监督。一位能够说明代理整体准确率的合规官,面对检查员询问"某客户的 KYC 为何在特定日期未经分析师审查即获清除"时,将无法给出令人满意的答复。责任人必须能够查阅代理的决策输入、当时生效的策略版本及其所经历的推理路径。
这一问责架构与 MAS 658 号通知中的个人问责要求及新加坡高级管理人员责任制的演进方向高度契合。机构应在职能负责人层面指定代理归属——不是将其委托给技术团队——并维护一份实时更新的代理与责任人对应登记册。当代理被更新、重新训练或退役时,登记记录必须同步更新并附带时间戳。
支柱三:技术控制
框架为在受监管工作流程中运行的代理规定了四类技术控制措施。审计日志必须在单笔交易层面捕获每一个输入、决策与输出——不是批量或会话层面。确定性回放意味着机构必须能够精确还原代理在任何历史案件中所接收的信息及所做的决策,即便模型已经更新。模型版本控制要求记录并可调取每次决策时所使用的具体模型版本。此外,终止开关——一套经文档化并经过测试的程序,用于在不干扰相邻工作流程的前提下暂停或回滚代理——属于强制性要求,不是可选项。
在共享基础设施上运行 AI 代理的机构,需特别关注确定性回放要求。若模型更新后旧版本未以可调取状态保留,机构将丧失还原历史决策的能力——这一缺口在任何 AML 审计或 SAR 异议中都会立即暴露。WIDTH 的 AI 合规官能力正是围绕这一要求构建:每项代理决策均在输入-输出层面留存日志,模型版本按部署固定,回放功能可从案件管理界面按需调取。
"我们在框架发布前就已有代理投入生产。技术控制基本到位——缺口在于问责登记册和风险界定文档。即便团队已充分理解相关技术,这两项工作也花了三周时间才得以完善。"
—— 新加坡持牌数字银行首席合规官
对合规团队的实践意义
- 立即盘点代理资产清单。将每项触及合规工作流程的 AI 代理逐一比对"实质性操作"判定门槛。只要代理能够在无需单独人工发起的情况下采取行动,无论最初如何分类,均在适用范围之内。
- 在检查员发问之前指定责任人。为每项在范围内的代理指定一名具体个人——不是团队或系统——作为问责主体。确保该责任人能够查阅单笔决策日志,而不仅限于绩效仪表盘。
- 将技术控制视为证明文件,不是工程细节。审计日志、模型版本控制与回放能力现已成为检查文档。若这些功能仅存在于工程系统中、合规官无法在一小时内自主调取,须立即弥补这一缺口。
WIDTH 的代理识别(KYA)框架正是为应对这一监管趋势而设计。AI 合规官在统一仪表盘中呈现每项代理部署的归属登记、风险界定状态与技术控制就绪情况,使合规负责人在检查员提出要求之前即可掌握完整的证明材料层。如需了解机构在 IMDA 框架下如何实现符合 KYA 标准的部署,欢迎与我们的团队联系。