人工智能审计:IIA的框架与应用导向

作 者:

作者简介:
曾繁荣,中国人民银行赣州市中心支行

原文出处:
中国内部审计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2019 年 02 期

关 键 词:

字号:

      内部审计在人工智能中的作用,是帮助组织评估、理解和传达人工智能在短期、中期、长期内对组织价值所产生影响的程度(消极或积极)。为更好地履行职责,内审人员应利用IIA的人工智能审计框架,如图1所示,为组织提供适当的人工智能咨询与保证服务。IIA人工智能审计框架包括三大组成部分,即人工智能战略、人工智能治理和人为因素,涉及七个要素,即网络弹性、人工智能能力、数据质量、数据架构和基础设施、衡量绩效、伦理学和黑匣子。

      

      一、人工智能战略

      每个组织人工智能战略的独特性基于其利用人工智能的方法。组织的人工智能战略通常是其大数据战略的自然延伸,应明确人工智能活动的预期结果及其与组织目标的关系,以及组织的人工智能技术能力、约束和愿望。这些应在组织各部门之间协作展开,专业技术人员也需要参与人工智能战略的执行。

      人工智能依赖于大数据,因此在考虑人工智能之前,应充分开发和实施组织的大数据战略。实际上,人工智能可以帮助组织从大数据中获取洞察力。正如IIA在《全球技术审计指南》所指出的,通过这些洞察力,深入理解和审计大数据,组织可以做出更好的决策,以创造性和差异化的方式瞄准新客户,为现有客户提供独特的服务。人工智能也可以发展成为组织持久的竞争优势。人工智能战略部分涉及两个要素:

      要素1:网络弹性

      组织抵御、应对和从网络攻击中恢复的能力(包括故意滥用组织的人工智能技术)变得越来越重要。审计负责人需具备在其团队内快速建立网络安全的能力,持续监控人工智能/网络安全风险,并向高级管理层和董事会传达组织所面临的风险级别及应对此类风险的努力。

      要素2:人工智能能力

      当前,拥有人工智能专业知识的技术专业人才并不多。但即使难以使用人工智能来构建审计系统、即使缺乏广泛的专业知识,组织仍然有必要为员工填补人工智能的知识空白,包括了解人工智能的工作原理、面临的风险和机遇,明确人工智能结果是否符合预期、如何采取纠正措施等。

      如表1所示,内部审计应了解人工智能如何运作及其带来的风险和机遇等,还应有能力确定第三方技术提供者是否胜任人工智能的相关技术要求。

      

      二、人工智能治理

      人工智能治理是指用于指导、管理和监控组织的人工智能活动的结构、流程和程序。治理结构和形式将根据组织的具体特征而有所不同。人工智能治理应包括建立问责制、责任和监督;帮助确保具有人工智能职责的人员具备必要的技能和专业知识;确保人工智能活动和相关决策行动符合组织的价值观、道德、社会和法律责任;为人工智能的整个生命周期建立政策和程序(从输入到输出),为培训、衡量绩效和报告制定政策和程序,如表2所示。

      (一)问责、责任和监督

      人工智能既有可能带来巨大利益,也有可能带来巨大伤害。最终,利益相关者可能会让董事会和管理层对其组织的人工智能结果负责。在评估人工智能治理时,内部审计人员可利用三道防线模型,如图2所示。但三道防线以及高级管理层、管理机构、外部审计和监管机构都在人工智能治理中发挥作用,内部审计人员应了解各方角色以及内部审计如何与它们对接。

      

      1.监管机构。通常监管机构了解和控制各级组织的具体活动,其“了解”是通过开展研究、参与制定标准和指导以及与利益相关方沟通等活动来实现,其“控制”则是通过监督、制定和执行法规等实现。IIA指出,监管机构通常设定旨在加强组织控制的要求、执行独立和客观的功能,以评估第一、第二或第三道防线。当前还没有专门针对人工智能的法规,但现有法规的某些条款可能与人工智能活动有关,世界各地的监管机构和标准制定机构已通过研究、讨论、建议和指导来表达关注。监管机构已认识到人工智能审计的重要性。例如,美国食品和药品管理局在其“关于医疗器械现有软件使用(OTS)的指导”中,认识到与审计相关的OTS软件(如人工智能、专家系统和神经网络软件)的重要性,要求制造商就“OTS软件开发人员使用的产品开发方法适用于预期用途……”提供保证,并建议将OTS软件开发人员使用的设计和开发方法纳入审计范围。内部审计人员应了解监管机构和标准制定机构在人工智能领域的工作进展,向高级管理层和董事会提供建议,并评估组织的监管控制目标是否反映了新的法规、标准和指导的要求。

      2.领导层。董事会负责对组织的人工智能活动进行最终监督。董事会应与高级管理层一起确定组织的人工智能战略。内部审计部门应理解并充分了解人工智能以及组织的人工智能活动。除了为人工智能活动提供保证外,内部审计还应提供建议和见解,以确保董事会做好充分准备。

相关文章: