人工智能爲世界各地的業務和組織創造了巨大的機會,那些用到了人工智能的企業和組織能夠更快更好地應對未來的挑戰和機遇。

圖片來源:Kevin M. Alvero, CISA, CFE, SVP, Nielsen Internal Audit

在 Nielsen,我們繼續重度依靠人工智能來掌控數據的力量,但這也僅僅是人工智能幫助我們所在組織的方式之一。隨着公司發掘出利用人工智能的新方式,他們需要確保在人工智能開發過程中管理好任何相關的風險。這就是爲什麼我們的內部審計職能已經對人工智能採取了審計流程。組織必須保持警惕,確保自己在正確的地方做了正確的投資,以此來利用好人工智能所代表的那些機會,確保精確地評估人工智能相關的風險,確保人工智能項目與組織使命、價值觀、文化和更大的技術戰略保持一致。

在這方面,內部審計應該是一個有價值的盟友,但是,從審計角度來看,人工智能帶來了許多挑戰。首先,人工智能的定義是有些模糊的。同時,在廣泛的業務活動中,組織正積極地尋求發展或者獲取人工智能能力,人工智能程序和流程可能會非常複雜,並且是高技術性的。最後,對於人工智能是什麼,以及人工智能能夠做什麼,市場上有許多炒作。

對人工智能進行審計的實踐正在發展中。至於先進的人工智能技術,例如機器學習,沒有統一的標準來監管這些人工智能技術。這些標準,以及審計人工智能技術的框架正在編寫中。信息系統審計和控制協會(ISACA:Information Systems Audit and Control Association)已經發布了指引,用於將其已有的 COBIT 框架(用於監管企業級 IT)應用於人工智能,而內部審計院也提出了一種方法。以此同時,一系列組織,包括 NIST,ISO 和 ASTM,正在起草人工智能標準。但是,隨着人工智能審計實踐的不斷發展,很明顯,內部審計需要繼續明確地關注戰略和監管——確保組織有一個合理的人工智能戰略,並且有一個魯棒的監管結構來支持戰略的執行。

定義人工智能

關於什麼是人工智能,什麼類型的技術應當被認爲是人工智能技術,這些如果沒有普遍共識的話,爲人工智能審計建立標準是很難的。人們不僅對什麼是人工智能有不同的看法,而且對於人工智能已經出現了多長時間也有不同看法。有些人採用了一種寬泛的觀點,堅信人工智能出現的時間比大多數人認爲的要早。其他人的觀點則更狹隘一些,認爲人工智能其實還不存在,現在所謂的人工智能技術實際上是被誤解了。

通常被認爲屬於人工智能領域範疇的技術包括:深度學習、機器學習、圖像識別、自然語言處理、認知計算、智能增強、認知增強、機器增強智能、增強智能等等,但是如何對這些技術分類和進行描述,各種消息來源之間存在着分歧。例如,一些人認爲機器人過程自動化(RPA:Robotic Process Automation)是一種人工智能形式,因爲它可以在各類大型數據集上執行高度複雜的算法,這類程序做決策的方式,讓它看起來像是模擬了智能。另一方面,其他人,包括 ISACA,不同意這種說法,他們認爲“人工智能並不是基於一系列預定義的規則來運行的”,這種基於規則的功能是“傳統軟件工程的標誌”。

更進一步說,人工智能本身可以根據技術類型來細分。例如,美國內部審計協會(IIA:Institute of Internal Auditors)在 2017 年發佈了以人工智能審計爲主題的全球視角和見解報告(Global Perspectives and Insights),該報告引用了人工智能的四個分類(即:I- 反應性機器,II- 有限記憶,III- 心智理論,IV- 自我意識)。與此同時,Protiviti 公司在 2019 年的一項研究中,選擇將機器學習、深度學習和自然語言處理合爲一組,並將這些技術統稱爲“高級人工智能”。

確切地說,人工智能是什麼,這看起來像是固執己見的人爭論不休的話題,但是,這實際上是和人工智能內部審計、審計職能所輸送價值,以及滿足利益干係人期望方面是強相關的。當考慮什麼樣子的人工智能技術需要通過內部審計時,最重要的考慮因素就是要理解一個組織自己是怎樣定義人工智能的。通過積極主動地發起公開對話,內部審計能夠回答這樣的問題:作爲一個組織,當我們說起“人工智能”時,我們指的是什麼?顯然,對這個問題做出回答的一致性對於管理利益干係人期望是非常重要的,因爲這個問題涉及到人工智能審計的範疇。但是,這個問題的答案還可以提供內部審計的洞察力,即組織對人工智能的定義是否足夠廣泛——或者足夠狹窄——使其能夠感知市場上的風險。

對人工智能進行審計

儘管人們對人工智能本質的看法不盡相同,但當說起人工智能審計的實踐時,主流指導思想通常都認爲內部審計仍應當聚焦在戰略和監管上。

戰略

如果沒有一個清晰的和定期審查的戰略,對人工智能能力的投資就只會產生令人失望的結果,甚至更糟糕的是,它們可能會導致組織財務上和 / 或名譽上的損害。內部審計感興趣的應當是確認組織是否有人工智能戰略的文檔備案,並基於以下考慮來評估該戰略的力量:

  • 它是否清晰描述了人工智能活動的預期結果?
  • 它是否包含了識別和解決人工智能威脅與機遇的計劃?
  • 它是在商業主管和技術主管之間協作開發的嗎?
  • 它是否與組織的使命、價值觀和文化保持一致 / 兼容?
  • 它是否會被審覈並更新?
  • 它是否考慮了利用人工智能技術所需的各項支持能力?

組織需要他們的內部審計部門詢問這些類型的問題,而且不止一次詢問,需要反覆的詢問。研究繼續表明,組織希望他們的內部審計部門具有更多前瞻性,並提供更多價值,因爲這涉及到評估戰略風險。在說起支持能力時,應該注意到,2019 年董事會成員和 C-level 領導(如 CEO、CTO 等)最關心的是,他們現有的運營和基礎設施將無法得到調整,從而能在“天賦異稟的數字”競爭對手中達到預期業績。因此,內部審計員可以而且應該不斷地處理這類問題——即組織的人工智能戰略是否恰當,以及是否具有實際可執行性。

監管

和其他任何主要系統一樣,組織需要爲人工智能活動建立起恰當的監管體系,確保組織對人工智能具備恰當的控制和責任,並且判斷人工智能項目是否如預期那樣運轉,以及是否實現了人工智能項目的目標。

同樣,沒有可靠的模板來管理人工智能。一位專家寫道,“劇本還沒有寫出來”。但是,內部審計人員應該從大數據入手,探索業務主管的謹慎態度,即他們爲支持人工智能應用而開發一套魯棒的監管體系所持有的謹慎態度。

大數據組成了人工智能的基礎能力,這意味着組織應當對他們的數據監管體系給予更多的關注。內部審計應當理解組織是如何確保他們的數據基礎設施有能力適應人工智能活動的規模和複雜性(這個規模和複雜性是之前在人工智能戰略中設定好的)的。同時,內部審計應當理解組織如何管理數據質量和一致性的風險,包括數據採集控制、訪問權限、數據保存、分類(即命名)、編輯和處理規則。內部審計還應當考慮安全性、網絡彈性和業務持續性,並評估組織在多大程度上準備處理數據威脅,這些數據威脅包括對數據準確性、完備性和可用性的威脅。

人工智能的價值和性能還取決於算法質量和計算準確度,人工智能在大數據上應用這些算法。組織必須擁有算法開發和質量控制的文檔化方法,以此確保這些算法被正確編寫,結果沒有偏差,並且恰當地使用了數據。內部審計還應當理解如何驗證人工智能系統決策的正確性,以及在這些決策受到挑戰時,是否能夠爲其辯護。

除了監管數據和人工智能算法,還應當檢查監管體系,以確定其是否滿足以下方面:

  • 明確建立了義務、責任和監督機制。
  • 恰當地記錄和遵守了策略及流程。
  • 那些負責人工智能的人具備必要的技能和專業知識。
  • 人工智能活動和人工智能相關的決策及行爲,符合組織的價值觀、倫理、社會和法律責任。
  • 任何供應商都接受第三方風險管理流程。

審計部門

爲了有效地對人工智能進行審計,內部審計職能必須確保他們擁有(或者能夠獲取)足夠的資源,知識和技能來圍繞人工智能進行審計,即使審計員工並不總是具有專家級的知識。這個已經被證明是很有挑戰的了。根據 2018 年《北美內部審計脈動》(North American Pulse of Internal Audit),78% 的首席審計執行官表示,招聘到具備數據挖掘和分析能力的員工是極其困難的。不管怎樣,內部審計部門都應該通過培訓和人才招聘來穩步增加其人工智能專業水平,因爲在未來幾年內,組織對人工智能的依賴只會增加。

人工智能審計的成功並不是直接依賴專業技術知識。成功取決於對戰略、監管、風險和過程質量的評估——從獨立的、跨部門的觀點來看,所有這些都是內部審計所擅長的。當涉及到人工智能時,內部審計應該繼續聚焦這些事情。

現在是時候關注人工智能審計了

儘管市場變化迅速,人工智能有時還定義含糊,但是內部審計卻能夠提供有價值的、基本的合理保障,能確保他們服務的組織在正確的方向上對人工智能進行投資,在涉及到人工智能時能夠考慮到風險和機遇,並在業務目標上給予強大的執行力。內部審計師越早這麼做越好,因爲各種形式的人工智能並不會消失。人工智能的勢頭在上升。內部審計職能應當與其他業務流程一樣,習慣於圍繞人工智能進行審計和提供保障,因爲在未來幾年,越來越多的業務領域都將以某種方式利用人工智能技術。儘管新的技術和風險層出不窮,但關注戰略和監管將使審計員能夠做到上述這點。

原文鏈接:

https://medium.com/nielsen-forward/dont-let-the-race-to-embrace-ai-overshadow-the-needs-to-audit-your-advancements-a806a3e47259

相關文章