很多中小企業現在不是沒在用 AI,而是用得太快。
行銷用 AI 產文案、客服用 AI 整理回覆、業務把客戶對話丟進工具摘要、主管想買 AI Agent 平台。效率看起來變高,但若沒先設計好 AI 工具資安與企業 AI 治理規則,風險也會一起被放大。
問題從來不是「AI 能不能用」——當然能用,而且應該用。真正該先想清楚的是這幾件事:
- 哪些資料能丟進工具?
- 誰可以用?能用到什麼程度?
- 做了什麼操作,有沒有紀錄?
- 供應商靠不靠譜、會不會說停就停?
- 萬一 AI 回錯、資料外流、帳號被離職員工帶走,責任算誰的?
這份清單不是要把 AI 擋在門外,而是避免公司掉進「員工各用各的、老闆完全不知道資料去哪裡」的狀態。那不是創新,是 Shadow AI(影子 AI)。
在 RunningMate 的陪跑現場,我們不會丟一份厚厚的政策給你自己讀。我們會帶著老闆和員工一起,把一份「最小治理包」做出來:資料分級表、可用工具清單、權限規則、驗收指標——讓你真的敢加速。
為什麼 AI 導入風險不是大公司才需要管?
因為中小企業的風險不一定比較小,只是少了人幫你擋。 大公司有法務、資安、IT、稽核部門在前面把關;中小企業多半沒有,一旦出事,最後幾乎都會回到老闆身上。
常見的失控狀況包括:
- 員工用私人帳號處理公司資料
- 客戶名單被上傳到不明工具
- AI 回覆沒有任何審核紀錄
- 供應商合約沒有資料保存條款
- 工具買了卻沒人驗收成效
AI 導入不只是採購一套軟體,而是把公司的資料、流程、甚至部分決策權交給系統。所以談功能之前,要先談邊界。
第 1 題:這個工具會碰到哪些資料?
先別問「這個工具能做什麼」,要問「它會讀到什麼」。 把資料分級,老闆才知道哪些流程可以快跑、哪些要慢慢來。
建議先把資料分成四級:
- 公開資料:官網內容、商品資訊、FAQ、已發布文章。通常可放進 AI 知識庫。
- 內部資料:SOP、教育訓練、活動規劃、一般報表摘要。可以用,但要限制權限。
- 客戶與交易資料:姓名、電話、地址、訂單、詢問內容、客服對話。必須控管,不能隨便丟進個人版工具。
- 高敏感資料:財務、薪資、醫療、法律文件、未公開合約、大量個資。除非有明確合約、權限與刪除規則,否則不要上傳。
第 2 題:資料會被保存、訓練或分享嗎?
AI 工具最常被忽略的,是資料進去之後到底去了哪裡。 至少要先確認這四件事:
- 資料會不會用於模型訓練?
- 資料會保存多久?
- 能不能刪除?
- 會不會被第三方處理?
如果供應商回答得很模糊、或合約沒寫清楚,就不要把敏感資料交給它。
中小企業不一定一開始就得買最貴的企業版,但至少要守住三條底線:
- 公司資料不用私人帳號處理
- 客戶資料進 AI 前先去識別化
- 高敏感資料只進「有合約、有管理後台」的工具
第 3 題:誰可以用?可以做到什麼程度?
權限不能只分「能用」和「不能用」,更務實的是分三層。 依「讀取 → 建議 → 執行」由淺到深設定:
- 只能讀取:能查資料,但不能改、不能匯出。
- 可以建議:能產生回覆或方案草稿,由真人確認後才送出。
- 可以執行:能實際發信、改資料、調設定——這層要最小化、最謹慎。
對應到不同角色:
- 客服可查訂單、產生回覆建議,但不該匯出整批會員資料。
- 行銷可用公開商品資料與品牌素材,但不該讀客服客訴紀錄。
- 外包文案只能看簡化產品資訊,不該拿到完整客戶名單。
AI Agent 尤其要小心,因為它不只是回答,還可能發信、改資料、建立任務、調整廣告。第一版最好先停在「可以建議」,由真人確認後才執行。
第 4 題:出了錯,有沒有紀錄可以追?
沒有紀錄的 AI 系統,出事時幾乎無從處理。 如果 AI 回錯客服、寄錯信、改錯資料、產出違規文案,老闆需要能回答:
- 誰觸發了這個任務?
- AI 讀了哪份資料?
- 它產生了什麼建議?
- 誰按下確認?
- 最後改動了哪裡?
對應地,至少要留下這 5 種操作紀錄:
- 使用者紀錄(誰做的)
- 資料來源紀錄(讀了什麼)
- 輸入與輸出紀錄(問了什麼、答了什麼)
- 執行紀錄(實際做了什麼)
- 人工確認紀錄(誰核可的)
工具本身做不到,就先把關鍵流程寫進 Google Sheet、CRM、任務系統或內部表單。重點不是形式漂亮,而是事後查得到。
第 5 題:供應商倒了、漲價、停服,資料拿得回來嗎?
AI 工具市場變很快,今天很紅的工具,半年後可能改價、停功能、被併購,或跟你的主系統不再相容。 導入前先問清楚:
- 資料能不能匯出?格式是 CSV、JSON、Markdown,還是只能截圖?
- 知識庫、提示詞、流程設定能不能備份?
- 取消帳號後資料保存多久?
- 是否支援 API?
- 合約有沒有 SLA、資料處理條款與終止條款?
這些問題聽起來很無聊,但 AI 流程一旦跑進日常營運,退出成本會比想像中高很多。
第 6 題:AI 回答或執行前,有沒有人工接管規則?
成熟的 AI 自動化不是什麼都讓 AI 做,而是知道哪裡一定要人接手。 建議先設三條紅線:
- 金額紅線:超過預算、折扣、退款或報價範圍,必須人工確認。
- 內容紅線:涉及法規、合約、醫療、財務、個資、負面情緒,必須轉真人。
- 權限紅線:AI 可以提醒與建議,但不能直接刪資料、改價格、匯出名單、發正式承諾。
舉幾個實務情境:
- 客服遇到客訴、退費、法律威脅、情緒升高,要轉真人。
- 廣告 Agent 想調高預算、關閉活動、改受眾,要主管確認。
- 文案 AI 產生保健、醫療、金融、功效宣稱,要進合規審查。
第 7 題:導入後要用什麼指標驗收?
AI 導入要回到營運結果,不要只看產出量。 不同工具看不同指標:
- 行銷工具:產出速度、審稿退件率、素材上線時間、廣告成效。
- 客服工具:回覆時間、轉真人比例、客訴率、摘要正確率。
- 業務工具:名單跟進速度、成交率、遺漏率。
- 營運 Agent:異常發現時間、任務完成率、錯誤減少數。
建議用 30 天驗收節奏走:
- 第一週:記錄原流程數據(沒有基準就沒辦法比較)。
- 第二到三週:讓 AI 進入半自動流程。
- 第四週:決定擴大、調整或停掉。
沒達到指標,就不要硬擴大。
把這 7 題串起來:用 RACAE 一次跑完導入
上面 7 題,看起來是七個獨立檢查項,其實可以包成一個可重複的優化循環。
這就是狼大在陪跑時一直在用的招牌方法——RACAE 優化循環,順序是 Record(紀錄)→ Analysis(分析)→ Conclusion(結論)→ Assumption(假設)→ Experiment(驗證)。
把「資料分級+權限+紀錄+30 天驗收」對應進去,就是這樣:
- Record(紀錄):先把上面說的 5 種操作紀錄留下來——使用者、資料來源、輸入與輸出、執行、人工確認。沒有紀錄,後面全部都是憑感覺。
- Analysis(分析):拿第 7 題的驗收指標去看資料。回覆時間有沒有變短?退件率有沒有下降?哪個流程其實沒省到時間?
- Conclusion(結論):根據指標下判斷。這個流程值得擴大、需要調整、還是該停掉?
- Assumption(假設):先從低風險、可逆的流程開出第一版假設——例如「公開資料整理、文案初稿用 AI,應該能省時又不碰敏感資料」。先開低風險,不要一上來就動客戶名單。
- Experiment(驗證):用 30 天驗收去跑這個假設。過了,就擴大到下一個流程;沒過,就回到 Record 重來一輪。
這套循環的好處是:每一輪都有資料佐證,老闆不用憑感覺決定要不要再投錢。
想更完整了解這個方法在企業端怎麼落地,可以參考我們的 企業 AI 陪跑。
一份真實案例:先留紀錄,才有得驗收
講方法容易,落地很難。分享一個 RunningMate 帶著做的例子。
某塑膠擠出工廠(依約不具名) 的生產日報,原本是紙本手寫——工單號碼、工序、起訖時間、生產數量,全靠人工抄。痛點不只是慢,而是抄完就散在紙堆裡,根本沒辦法回頭分析。
我們陪老闆和員工一起,把它改成一支手機 Web App:
- 選員工
- 輸入工單/工序
- 按下計時,開始工作
關鍵在於——這一步等於先把「紀錄」這件事做起來(Record)。資料變成結構化、查得到,後面才談得上分析與驗收。光是把紙本搬上手機這件事,就預估一年省下 200+ 小時。
值得一提的是,這不是顧問丟一份報告就走,而是帶著老闆和員工一起做、讓團隊長出自己的能力。
同樣的精神,狼大也用在自己經營的 Meta Toy 玩具電商:把原本要開電腦、員工又不愛用的 Google 試算表進銷存,改成手機可操作的進銷存流程——
- LINE 自動推播下單紀錄
- 手機庫存/盤點 Web App(可掃 SKU、選倉位、語音輸入)
結果是每天約省 30 分鐘,員工落實率也跟著提升。
從工廠到電商,重點都一樣:先把紀錄做起來,治理和驗收才有依據。
老闆可以先做的最小治理包
不用一開始就寫一份厚厚的 AI 政策。 對多數中小企業來說,第一版先做到這 4 件事就夠:
- 資料分級表(第 1 題)
- 可用工具清單(第 2、5 題)
- 權限與人工確認規則(第 3、6 題)
- 30 天驗收指標(第 4、7 題)
這 4 件做完,公司就能先開放低風險流程,例如:
- 公開資料整理
- 文案初稿
- 客服 FAQ
- 會議摘要
- 報表重點
等碰到客戶資料、交易資料、合約、財務或系統執行權限時,再升級到企業版、私有化或更嚴格的導入專案。
最怕的不是慢,而是「假裝已經導入 AI」,實際上只是把公司資料交給一堆無法管理的個人帳號。
一張簡單的 AI 工具導入檢查表
| 檢查項目 | 必問問題 | 沒答案時的處理 |
|---|---|---|
| 資料範圍 | 工具會碰到哪些資料? | 先限制公開與低敏感資料 |
| 資料保存 | 是否用於訓練?保存多久? | 不放客戶與高敏感資料 |
| 權限控管 | 誰能讀取、建議、執行? | 先只開建議,不開自動執行 |
| 操作紀錄 | 出錯時查得到嗎? | 補表單、任務或紀錄流程 |
| 供應商風險 | 資料拿得回來嗎? | 要求匯出、備份與終止條款 |
| 人工接管 | 哪些情境必須轉真人? | 先列金額、內容、權限紅線 |
| 成效驗收 | 30 天後看什麼 KPI? | 沒指標就不要擴大導入 |
最後:AI 治理不是踩煞車,是讓公司敢加速
沒有規則,公司只會陷入兩種狀態:老闆什麼都不敢開放,或員工各用各的、資料到處飛。 這兩種都不是好事。
好的企業 AI 治理,是讓老闆清楚知道:
- 哪些地方可以快、哪些地方要慢
- 哪些資料能用、哪些資料不能亂丟
- 哪些動作 AI 可以自己做、哪些一定要人確認
規則清楚,公司反而能更快導入,因為大家都知道邊界在哪裡。
導入 AI 工具前,先看這 8 個資安問題
中小企業導入 AI 工具,一定要買企業版嗎?
A:不一定。公開資料、低敏感文案與內部草稿,可以先用較低成本的工具測試。但只要碰到客戶資料、交易資料、合約、財務或大量個資,就應優先考慮有企業管理、資料保存設定、權限控管與合約條款的方案。
員工已經在用 ChatGPT,公司該禁止嗎?
A:不建議只用禁止。更務實的是建立分級規則:哪些資料可以用、哪些要去識別化、哪些禁止上傳、哪些工具可用公司帳號。完全禁止通常擋不住,只會讓 Shadow AI 更難管理。
AI Agent 可以直接串接公司系統自動執行嗎?
A:可以,但不適合一開始就全面開放。第一階段讓 AI 只讀資料與產生建議;第二階段開放低風險任務,例如建立提醒、整理摘要、推送通知;第三階段才逐步開放修改資料、寄信、調整設定,而且要有紀錄、權限與停損條件。
什麼是 Shadow AI?為什麼老闆要在意?
A:Shadow AI 指員工各自用私人帳號、未經管理的工具處理公司資料,老闆完全不知道資料流向哪裡。它的風險在於資料外流、無紀錄可追、離職帶走帳號,且出事責任仍會回到老闆身上。
資料分級到底要分幾級?
A:對多數中小企業,分四級就夠:公開資料、內部資料、客戶與交易資料、高敏感資料。分級的目的是讓老闆知道哪些流程可以快跑、哪些要慢慢來,而不是把所有資料一視同仁地丟進工具。
導入 AI 後要怎麼驗收才不會白花錢?
A:建議用 30 天節奏:第一週記錄原流程數據當基準,第二到三週讓 AI 進入半自動流程,第四週依指標決定擴大、調整或停掉。沒有達到設定指標就不要硬擴大,這也是 RACAE 裡 Experiment(驗證)的核心精神。
RACAE 怎麼用在 AI 導入上?
A:RACAE 的順序是 Record(紀錄)→ Analysis(分析)→ Conclusion(結論)→ Assumption(假設)→ Experiment(驗證)。先留下操作紀錄、用指標分析、下結論、從低風險流程開出假設,再用 30 天驗收去跑——每一輪都有資料佐證,老闆不用憑感覺決定要不要再投入。
找人陪跑導入 AI,跟買課程或找代營運有什麼不同?
A:課程通常只教觀念、代營運是替你做完就走,兩者都不一定讓團隊長出能力。陪跑是介於兩者之間的第三條路:先懂你的生意,再帶著老闆和員工一起把治理包與流程做出來,過程中團隊自己學會操作。費用會依流程複雜度、要不要客製工具等因素而不同,建議先聊聊再評估值不值得。
