AI Insurans & Risiko: Bila Peraturan Jadi Medan Tarik Tali

Pada 11/12/2025, Amerika Syarikat menyaksikan satu langkah besar yang biasanya hanya dibincangkan di bilik lembaga dan meja peguam: perintah eksekutif presiden untuk mewujudkan rangka kerja peraturan AI di peringkat nasional dan pada masa sama menyekat undang-undang AI di peringkat negeri yang bercanggah. Reaksinya pun terbelah — sebahagian pemain insurans menyambut baik, manakala penggubal undang-undang negeri melihatnya sebagai ancaman kepada kuasa negeri.

Bagi orang insurans, ini bukan drama politik semata-mata. Ini isu operasi. AI sudah berada dalam jantung kerja harian: underwriting, pengurusan tuntutan, pengesanan penipuan, dan analitik ramalan. Bila peraturan berubah—atau bila peraturan bercanggah antara wilayah—kos pematuhan naik, kelajuan inovasi terganggu, dan risiko reputasi boleh meletup dalam sekelip mata.

Dalam siri “AI dalam Insurans dan Pengurusan Risiko”, saya suka pegang satu prinsip: teknologi bukan masalah utama—governance yang lemah yang selalunya buat projek AI “cantik di demo, sakit di produksi”. Perdebatan persekutuan vs negeri ini mengajar satu perkara: organisasi yang menang ialah yang membina AI yang patuh, boleh diaudit, dan mudah disesuaikan.

Apa sebenarnya yang dipertikaikan dalam perintah AI ini?

Intinya begini: pentadbiran persekutuan mahu standard minimum nasional untuk peraturan AI, dengan hujah bahawa “tampalan” undang-undang negeri menyukarkan pematuhan dan ada yang didakwa memasukkan bias ideologi atau meluaskan kuasa negeri melangkaui sempadan.

Perintah itu mengandungi beberapa mekanisme yang sangat praktikal kesannya:

• Dalam 30 hari, Peguam Negara perlu menubuhkan AI litigation task force untuk mencabar undang-undang AI negeri yang dianggap tidak sah, bercanggah kuasa persekutuan, atau melanggar perlembagaan.
• Dalam 90 hari, kerajaan persekutuan merancang menerbitkan penilaian undang-undang AI negeri dan mengenal pasti yang berpotensi disasarkan tindakan.
• Jabatan Perdagangan dijangka mengeluarkan panduan yang mengaitkan kelayakan dana program jalur lebar (broadband) tertentu dengan polisi AI negeri. Negeri yang mempunyai undang-undang AI yang dianggap “membebankan” boleh dinilai tidak layak bagi baki dana tertentu (setakat yang dibenarkan undang-undang persekutuan).

Bagi sektor insurans, mesej tersiratnya jelas: peraturan AI mungkin bergerak ke arah penyelarasan, tetapi proses menuju ke situ boleh jadi bergelora.

Kenapa sesetengah syarikat insurans sokong standard nasional?

Jawapan paling jujur: kos dan kelajuan.

Untuk syarikat insurans yang beroperasi merentas banyak negeri, peraturan AI yang berbeza-beza boleh mencipta kerja berulang: dokumen berbeza, audit berbeza, pendedahan berbeza, dan kadang-kadang definisi “AI berisiko tinggi” yang berbeza. Bila anda guna AI untuk kelulusan tuntutan atau penentuan premium, setiap variasi peraturan boleh menambah masa kitaran dan risiko litigasi.

Dalam laporan yang dibincangkan, kumpulan insurans kesihatan dilaporkan cenderung menyokong pendekatan persekutuan kerana:

• Mengurangkan beban pematuhan dan kos operasi
• Memberi lebih ruang untuk inovasi (contoh: automasi pra-kebenaran, triage tuntutan, sokongan klinikal)
• Mengutamakan guardrails berasaskan risiko (bukan senarai larangan yang panjang)

Pendekatan “risk-based” yang praktikal untuk insurans

Jika anda mengurus AI dalam insurans, pembahagian risiko ini biasanya masuk akal:

• Risiko tinggi: AI yang mempengaruhi keputusan kewangan atau akses manfaat—contoh: kelulusan/penolakan tuntutan, penentuan premium, pengesanan penipuan yang mencetuskan siasatan, atau model yang memberi kesan besar kepada segmen pengguna tertentu.
• Risiko sederhana: AI untuk cadangan dalaman, keutamaan kes, ringkasan dokumen tuntutan, atau pengesanan anomali untuk semakan manusia.
• Risiko rendah: AI untuk carian dokumen, automasi e-mel, draf surat, atau analitik operasi yang tidak memberi kesan langsung kepada pelanggan.

Bila peraturan berasaskan risiko, syarikat boleh letak kawalan paling ketat pada penggunaan risiko tinggi—dan tidak “menghukum” inovasi risiko rendah.

Kenapa negeri membantah? Isunya bukan ‘anti-AI’

Bantahan negeri sering disalah tafsir sebagai “menolak AI”. Sebenarnya, kebimbangan mereka banyak berkait dengan federalisme dan tanggungjawab terhadap rakyat setempat.

Penggubal undang-undang insurans di peringkat negeri (melalui badan seperti NCOIL) berhujah bahawa:

• Negeri perlu ruang untuk bertindak balas kepada risiko baharu AI yang belum jelas kesannya
• Perlindungan pengguna (termasuk isu diskriminasi algoritma) sering lebih cepat digerakkan di peringkat negeri
• Moratorium atau preemption terlalu luas boleh membekukan inovasi dasar—sedangkan negeri sering menjadi “makmal polisi”

Dalam konteks insurans, negeri juga biasanya lebih dekat kepada realiti pasaran tempatan: demografi, risiko bencana, corak penipuan, dan aduan pengguna. Jadi bila kuasa negeri diketepikan, mereka bimbang kawalan keselamatan jadi terlalu umum.

Apa implikasi kepada syarikat insurans di luar AS (termasuk Malaysia)?

Walaupun isu ini berpusat di AS, coraknya biasa berlaku di banyak negara: push untuk standard pusat vs keperluan setempat.

Bagi pemain di Malaysia (atau syarikat serantau yang ada operasi lintas sempadan), pengajarannya:

• Anda tak boleh bergantung pada satu set polisi statik. AI governance mesti direka untuk berubah.
• “Patuh hari ini” tak bermaksud “patuh bulan depan”—lebih-lebih lagi bila peraturan AI sedang berkembang.

Apa yang perdebatan ini ajar tentang AI dalam underwriting & tuntutan?

Jawapan terus: AI yang paling selamat untuk bisnes ialah AI yang boleh dijelaskan, boleh disemak, dan ada jejak keputusan.

Tiga kawasan yang paling cepat terasa kesan perubahan peraturan ialah:

1) Underwriting & penentuan premium

Bila AI digunakan untuk ramalan risiko dan segmentasi pelanggan, isu utama ialah keadilan dan kebolehjelasan.

Amalan yang saya anggap wajib jika anda gunakan model ramalan:

• Senarai ciri (feature inventory): ciri apa yang digunakan, dari sumber mana, untuk tujuan apa.
• Ujian bias & dispariti: semak perbezaan keputusan merentasi kumpulan demografi yang relevan (ikut undang-undang dan polisi syarikat).
• Model card: ringkasan versi model, data latihan, batasan, dan konteks sesuai.

2) Automasi tuntutan (claims automation)

Automasi tuntutan boleh menjimatkan masa, tapi juga paling mudah mencetuskan aduan jika pelanggan rasa “ditolak oleh mesin”.

Kawalan yang patut ada:

• Human-in-the-loop untuk keputusan berimpak tinggi (tolak tuntutan, kurangkan pampasan, atau flag penipuan yang membawa tindakan).
• Log alasan keputusan (reason codes) yang boleh diterangkan dengan bahasa mudah.
• SLA semakan semula: bila pelanggan merayu, proses semakan mesti jelas dan cepat.

3) Pengesanan penipuan

AI penipuan sangat berguna, tetapi risiko false positive boleh merosakkan pengalaman pelanggan dan reputasi.

Prinsipnya mudah: AI patut mencadangkan siasatan, bukan menjatuhkan hukuman.

Strategi “AI patuh peraturan” yang tahan lasak (walau polisi berubah)

Kalau anda mahu sistem AI yang tidak panik bila peraturan berubah, bina dari awal dengan tiga lapisan ini.

Lapisan 1: Tadbir urus (governance) yang boleh dikuatkuasakan

Bukan setakat polisi PDF.

• Tubuhkan AI governance committee (risiko, pematuhan, undang-undang, IT, bisnes)
• Tetapkan AI use-case approval gate: tiada projek produksi tanpa semakan risiko
• Wujudkan kitaran semakan berkala (contoh setiap 6 bulan) untuk model yang menyentuh pelanggan

Satu ayat yang saya ulang dalam bengkel dalaman: “Model yang tak ada pemilik ialah liabiliti yang menunggu masa.”

Lapisan 2: Reka bentuk pematuhan (compliance-by-design)

Sebelum model dilatih, pastikan:

• Data berlesen/berhak guna, ada asas tujuan yang jelas
• Data minimization: ambil yang perlu sahaja
• Pseudonimisasi/penyamaran data bila sesuai
• Pelan retention dan pelupusan data

Lapisan 3: Keupayaan audit & bukti

Jika esok regulator tanya “kenapa keputusan ini dibuat?”, anda perlu jawapan yang bukan berdasarkan ingatan.

Checklist bukti yang sepatutnya wujud:

1. Versi model dan tarikh deploy
2. Dataset latihan dan kriteria pemilihan
3. Metrik prestasi (ketepatan, precision/recall untuk penipuan, dsb.)
4. Ujian bias/dispariti
5. Rekod perubahan (change log)
6. Mekanisme rollback bila prestasi merosot

Soalan lazim: “Kalau standard nasional diwujudkan, adakah pematuhan jadi lebih mudah?”

Secara praktikal, ya—pada kertas. Tetapi dalam realiti, peralihan biasanya mencipta tempoh “dua dunia”:

• Syarikat perlu patuh standard sedia ada (negeri/garis panduan lama)
• Dalam masa sama bersedia untuk standard baharu
• Risiko litigasi meningkat kerana banyak pihak mahu menguji sempadan kuasa

Itulah sebabnya strategi terbaik bukan menunggu arah angin. Strategi terbaik ialah membina AI yang adaptif: polisi boleh diubah tanpa menulis semula keseluruhan sistem.

Apa yang patut dibuat oleh pemimpin insurans minggu ini (bukan tahun depan)

Jika anda memimpin fungsi risiko, pematuhan, data, atau operasi insurans, ini langkah yang saya cadangkan—ringkas tapi berkesan:

• Senaraikan semua penggunaan AI (termasuk gen AI) dalam organisasi: siapa guna, untuk apa, data apa.
• Klasifikasikan mengikut impak: tinggi/sederhana/rendah.
• Untuk impak tinggi, pastikan ada:
  • pemilik model,
  • dokumentasi,
  • proses semakan manusia,
  • saluran rayuan pelanggan,
  • dan pelan audit.
• Bentukkan satu playbook “jika peraturan berubah”: siapa buat keputusan, berapa lama untuk ubah proses, siapa tandatangan.

Penutup: AI dalam insurans bukan sekadar teknologi—ia kontrak kepercayaan

Perintah persekutuan di AS yang cuba menyelaraskan peraturan AI—dan bantahan negeri yang mempertahankan kuasa setempat—menunjukkan realiti yang ramai eksekutif tak suka dengar: AI dalam insurans akan sentiasa berada di bawah kaca pembesar. Bila AI mempengaruhi premium dan tuntutan, ia terus menyentuh keadilan, akses, dan hak pengguna.

Dalam siri “AI dalam Insurans dan Pengurusan Risiko”, saya melihat organisasi yang paling stabil bukan yang paling banyak eksperimen, tetapi yang paling kemas governance-nya. Mereka boleh bergerak laju tanpa membakar kepercayaan.

Jika organisasi anda sedang merancang automasi underwriting, tuntutan, atau pengesanan penipuan berasaskan AI, langkah seterusnya ialah menilai sama ada sistem anda boleh diaudit dan boleh dijelaskan—bukan sekadar “boleh jalan”. Bila peraturan berubah lagi (dan ia akan berubah), adakah AI anda akan kekal kukuh, atau anda terpaksa brek mengejut?