--------點選螢幕右側或者螢幕底部“+訂閱”,關注我,随時分享機器智能最新行業動态及技術幹貨------------
圖檔來源:Kevin M. Alvero, CISA, CFE, SVP, Nielsen Internal Audit
在 Nielsen,我們繼續重度依靠人工智能來掌控資料的力量,但這也僅僅是人工智能幫助我們所在組織的方式之一。随着公司發掘出利用人工智能的新方式,他們需要確定在人工智能開發過程中管理好任何相關的風險。這就是為什麼我們的内部審計職能已經對人工智能采取了審計流程。組織必須保持警惕,確定自己在正确的地方做了正确的投資,以此來利用好人工智能所代表的那些機會,確定精确地評估人工智能相關的風險,確定人工智能項目與組織使命、價值觀、文化和更大的技術戰略保持一緻。
在這方面,内部審計應該是一個有價值的盟友,但是,從審計角度來看,人工智能帶來了許多挑戰。首先,人工智能的定義是有些模糊的。同時,在廣泛的業務活動中,組織正積極地尋求發展或者擷取人工智能能力,人工智能程式和流程可能會非常複雜,并且是高技術性的。最後,對于人工智能是什麼,以及人工智能能夠做什麼,市場上有許多炒作。
對人工智能進行審計的實踐正在發展中。至于先進的人工智能技術,例如機器學習,沒有統一的标準來監管這些人工智能技術。這些标準,以及審計人工智能技術的架構正在編寫中。資訊系統審計和控制協會(ISACA:Information Systems Audit and Control Association)已經釋出了指引,用于将其已有的 COBIT 架構(用于監管企業級 IT)應用于人工智能,而内部審計院也提出了一種方法。以此同時,一系列組織,包括 NIST,ISO 和 ASTM,正在起草人工智能标準。但是,随着人工智能審計實踐的不斷發展,很明顯,内部審計需要繼續明确地關注戰略和監管——確定組織有一個合理的人工智能戰略,并且有一個魯棒的監管結構來支援戰略的執行。
定義人工智能
關于什麼是人工智能,什麼類型的技術應當被認為是人工智能技術,這些如果沒有普遍共識的話,為人工智能審計建立标準是很難的。人們不僅對什麼是人工智能有不同的看法,而且對于人工智能已經出現了多長時間也有不同看法。有些人采用了一種寬泛的觀點,堅信人工智能出現的時間比大多數人認為的要早。其他人的觀點則更狹隘一些,認為人工智能其實還不存在,現在所謂的人工智能技術實際上是被誤解了。
通常被認為屬于人工智能領域範疇的技術包括:深度學習、機器學習、圖像識别、自然語言處理、認知計算、智能增強、認知增強、機器增強智能、增強智能等等,但是如何對這些技術分類和進行描述,各種消息來源之間存在着分歧。例如,一些人認為機器人過程自動化(RPA:Robotic Process Automation)是一種人工智能形式,因為它可以在各類大型資料集上執行高度複雜的算法,這類程式做決策的方式,讓它看起來像是模拟了智能。另一方面,其他人,包括 ISACA,不同意這種說法,他們認為“人工智能并不是基于一系列預定義的規則來運作的”,這種基于規則的功能是“傳統軟體工程的标志”。
更進一步說,人工智能本身可以根據技術類型來細分。例如,美國内部審計協會(IIA:Institute of Internal Auditors)在 2017 年釋出了以人工智能審計為主題的全球視角和見解報告(Global Perspectives and Insights),該報告引用了人工智能的四個分類(即:I- 反應性機器,II- 有限記憶,III- 心智理論,IV- 自我意識)。與此同時,Protiviti 公司在 2019 年的一項研究中,選擇将機器學習、深度學習和自然語言處理合為一組,并将這些技術統稱為“進階人工智能”。
确切地說,人工智能是什麼,這看起來像是固執己見的人争論不休的話題,但是,這實際上是和人工智能内部審計、審計職能所輸送價值,以及滿足利益幹系人期望方面是強相關的。當考慮什麼樣子的人工智能技術需要通過内部審計時,最重要的考慮因素就是要了解一個組織自己是怎樣定義人工智能的。通過積極主動地發起公開對話,内部審計能夠回答這樣的問題:作為一個組織,當我們說起“人工智能”時,我們指的是什麼?顯然,對這個問題做出回答的一緻性對于管理利益幹系人期望是非常重要的,因為這個問題涉及到人工智能審計的範疇。但是,這個問題的答案還可以提供内部審計的洞察力,即組織對人工智能的定義是否足夠廣泛——或者足夠狹窄——使其能夠感覺市場上的風險。
對人工智能進行審計
盡管人們對人工智能本質的看法不盡相同,但當說起人工智能審計的實踐時,主流指導思想通常都認為内部審計仍應當聚焦在戰略和監管上。
戰略
如果沒有一個清晰的和定期審查的戰略,對人工智能能力的投資就隻會産生令人失望的結果,甚至更糟糕的是,它們可能會導緻組織财務上和 / 或名譽上的損害。内部審計感興趣的應當是确認組織是否有人工智能戰略的文檔備案,并基于以下考慮來評估該戰略的力量:
- 它是否清晰描述了人工智能活動的預期結果?
- 它是否包含了識别和解決人工智能威脅與機遇的計劃?
- 它是在商業主管和技術主管之間協作開發的嗎?
- 它是否與組織的使命、價值觀和文化保持一緻 / 相容?
- 它是否會被稽核并更新?
- 它是否考慮了利用人工智能技術所需的各項支援能力?
組織需要他們的内部審計部門詢問這些類型的問題,而且不止一次詢問,需要反複的詢問。研究繼續表明,組織希望他們的内部審計部門具有更多前瞻性,并提供更多價值,因為這涉及到評估戰略風險。在說起支援能力時,應該注意到,2019 年董事會成員和 C-level 上司(如 CEO、CTO 等)最關心的是,他們現有的營運和基礎設施将無法得到調整,進而能在“天賦異禀的數字”競争對手中達到預期業績。是以,内部審計員可以而且應該不斷地處理這類問題——即組織的人工智能戰略是否恰當,以及是否具有實際可執行性。
監管
和其他任何主要系統一樣,組織需要為人工智能活動建立起恰當的監管體系,確定組織對人工智能具備恰當的控制和責任,并且判斷人工智能項目是否如預期那樣運轉,以及是否實作了人工智能項目的目标。
同樣,沒有可靠的模闆來管理人工智能。一位專家寫道,“劇本還沒有寫出來”。但是,内部審計人員應該從大資料入手,探索業務主管的謹慎态度,即他們為支援人工智能應用而開發一套魯棒的監管體系所持有的謹慎态度。
大資料組成了人工智能的基礎能力,這意味着組織應當對他們的資料監管體系給予更多的關注。内部審計應當了解組織是如何確定他們的資料基礎設施有能力适應人工智能活動的規模和複雜性(這個規模和複雜性是之前在人工智能戰略中設定好的)的。同時,内部審計應當了解組織如何管理資料品質和一緻性的風險,包括資料采集控制、通路權限、資料儲存、分類(即命名)、編輯和處理規則。内部審計還應當考慮安全性、網絡彈性和業務持續性,并評估組織在多大程度上準備處理資料威脅,這些資料威脅包括對資料準确性、完備性和可用性的威脅。
人工智能的價值和性能還取決于算法品質和計算準确度,人工智能在大資料上應用這些算法。組織必須擁有算法開發和品質控制的文檔化方法,以此確定這些算法被正确編寫,結果沒有偏差,并且恰當地使用了資料。内部審計還應當了解如何驗證人工智能系統決策的正确性,以及在這些決策受到挑戰時,是否能夠為其辯護。
除了監管資料和人工智能算法,還應當檢查監管體系,以确定其是否滿足以下方面:
- 明确建立了義務、責任和監督機制。
- 恰當地記錄和遵守了政策及流程。
- 那些負責人工智能的人具備必要的技能和專業知識。
- 人工智能活動和人工智能相關的決策及行為,符合組織的價值觀、倫理、社會和法律責任。
- 任何供應商都接受第三方風險管理流程。
審計部門
為了有效地對人工智能進行審計,内部審計職能必須確定他們擁有(或者能夠擷取)足夠的資源,知識和技能來圍繞人工智能進行審計,即使審計員工并不總是具有專家級的知識。這個已經被證明是很有挑戰的了。根據 2018 年《北美内部審計脈動》(North American Pulse of Internal Audit),78% 的首席審計執行官表示,招聘到具備資料挖掘和分析能力的員工是極其困難的。不管怎樣,内部審計部門都應該通過教育訓練和人才招聘來穩步增加其人工智能專業水準,因為在未來幾年内,組織對人工智能的依賴隻會增加。
人工智能審計的成功并不是直接依賴專業技術知識。成功取決于對戰略、監管、風險和過程品質的評估——從獨立的、跨部門的觀點來看,所有這些都是内部審計所擅長的。當涉及到人工智能時,内部審計應該繼續聚焦這些事情。
現在是時候關注人工智能審計了
盡管市場變化迅速,人工智能有時還定義含糊,但是内部審計卻能夠提供有價值的、基本的合理保障,能確定他們服務的組織在正确的方向上對人工智能進行投資,在涉及到人工智能時能夠考慮到風險和機遇,并在業務目标上給予強大的執行力。内部審計師越早這麼做越好,因為各種形式的人工智能并不會消失。人工智能的勢頭在上升。内部審計職能應當與其他業務流程一樣,習慣于圍繞人工智能進行審計和提供保障,因為在未來幾年,越來越多的業務領域都将以某種方式利用人工智能技術。盡管新的技術和風險層出不窮,但關注戰略和監管将使審計員能夠做到上述這點。
原文連結:
https://www.infoq.cn/article/0zbPWAOTKCvFAPm5BBB7 https://medium.com/nielsen-forward/dont-let-the-race-to-embrace-ai-overshadow-the-needs-to-audit-your-advancements-a806a3e47259