Несмотря на попытки Института внутренних аудиторов и компании ISACA разработать единый базис для проведения аудита посредством компонентов искусственного интеллекта (AI), до сих пор установление общепринятых стандартов в данной области остается нерешенным вопросом. Независимо от подхода и окончательной модели будущей структуры, можно выделить некоторые критические моменты, которые послужат основой для новаторской системы проверки с помощью AI.

Приоритетные локации

В 2017 году Институт внутренних аудиторов (IIA) опубликовал доклад «Глобальные перспективы и понимание: искусственный интеллект – основа для профессии внутреннего аудита». На его страницах авторы предлагали рассматривать аудит на основе AI в контексте компонентов управления, стратегии и человеческого фактора (Отчет «Global Perspectives and Insights: Artificial Intelligence» для IIA, 2017). Инструкция содержит примеры процедур и сфер исследования, где традиционные функции внутреннего аудита могут использоваться в качестве отправной точки внедрения инноваций.

В 2018 году компания ISACA опубликовала отчет Auditing Artificial Intelligence, в котором описывается использование структуры COBIT 2019 относительно аудита AI. Хотя указанный подход предстает более детальным и техническим, ISACA признает, что методы компаний к имплементации AI, в отличие от целостной цифровой трансформации, потребуют тщательной подготовки, как со стороны топ-менеджмента фирмы, так и с позиции отделов внутреннего аудита.

Поскольку адаптация внутреннего аудита к области AI все еще продолжается, существуют определенные ключевые элементы, которые необходимо охватить для стабилизации процесса внедрения инструментов искусственного интеллекта. Речь идет о следующих составляющих:

1.  Управление

Грамотное управление деятельностью AI в компании предусматривает наличие продуманных механизмов контроля, конкретизацию точек мониторинга, а также назначение ответственных лиц. Надзор со стороны совета директоров, обновление политики и процедур предприятия, установление связи между бизнес-подразделениями и проверки регуляторов играют не последнюю роль в успешном управлении AI. К данной области также относятся хранение персональных данных, кибер-безопасность и риски третьих сторон.

2.  Стратегия

Внутренним аудиторам следует оценить четкость формулирования бизнес-стратегии компании относительно использования AI, а также предполагаемый результат запланированной трансформации. Отсутствие конкретики ставит под угрозу определение эффективности проведенных операций. Стоит обратить внимание на реалистичность установленных целей. Реалистичная стратегия учитывает вспомогательные компетенции, необходимые для реализации инициатив по AI, следовательно, предусматривает тесное сотрудничество представителей бизнеса и IT-технологий во избежание противоречий и недомолвок.

Отделам внутреннего аудита следует учитывать потенциальные конфликты между стратегией внедрения элементов искусственного интеллекта и ценностями организации в контексте справедливости, прозрачности, конфиденциальности, дискриминации и корпоративного гражданства.

3.  Информационные пулы

Резервуары данных являются сырьем для алгоритмов AI в качестве основы принятия решений и определения вероятностей событий. Поэтому оцифрованная программа внутреннего аудита должна включать анализ активов данных компании. При проверке основы будущих систем AI, внутренние аудиторы обязаны учитывать следующие аспекты:

  • Инвентаризация данных. Обладает ли организация точной информацией о количестве метаданных, их локации и системах интеграции?
  • Качество данных. Являются ли сведения точными, полными, доступными и структурированными для удовлетворения потребностей систем AI? Какие меры контроля позволяют убедиться в их достоверности
  • Безопасность данных. Каким образом данные защищены от кражи и / или несанкционированного доступа?
  • Конфиденциальность данных. Являются ли методы сбора, обработки, хранения, отчетности и ликвидации сведений этическими, законными и уважающими право пользователей на конфиденциальность
  • Управление данными. Определены ли четкие границы владения и руководства данными компании?
  • Технологическая инфраструктура. Способна ли общая технологическая инфраструктура организации обеспечить информационные потребности своей стратегии AI на текущий момент и в будущем?

4.  Алгоритмы

До сих пор остается спорным вопрос о роли внутреннего аудита в прописывании алгоритмов деятельности AI. Но можно с уверенностью сказать, что внутренние аудиторы обязаны убедиться в грамотной проектировке алгоритмов AI, их доступности и прозрачности для пользователей, а также экономической безопасности для компании. Внутренним аудиторам необязательно обладать навыками предметной экспертизы программиста, но они должны разбираться в процессах разработки системы искусственного интеллекта, чтобы понять цель алгоритма, тип информации, которая используется в качестве изначальных данных, и критерии для принятия решений либо составления прогнозов. Для успешного контроля производительности алгоритмов аудиторам следует ответить на следующие вопросы:

  • Соответствует ли разработанный алгоритм миссии, этике и ценностям компании?
  • Возможно ли моделирование результатов, которые спровоцируют предприятие пойти на действия, несовместимые с его риск-аппетитами?
  • Может ли алгоритм подвергнуть компанию юридическому / репутационному риску?

5.  Кибер-устойчивость

Большинство функций внутреннего аудита направлены на составление оценки кибер-устойчивости компании в контексте определенных аспектов деятельности. Поэтому, когда речь заходит об AI, целью внутреннего аудита должно стать обеспечение учета рисков, возникающих в результате использования элементов искусственного интеллекта в организации, а также их включение в общий план аудита по кибер-безопасности. Важную роль играет совместная работа аудиторов с отделами IT, юриспруденции и другими департаментами для получения уверенности в том, что компания готова противостоять кибер-атакам, реагировать на них и восстанавливаться в кратчайшие сроки.

6.  Риски третьих сторон

Независимо от того, привлекает ли компания сторонних партнеров для предоставления облачных услуг, создания мобильных приложений, анализа данных или даже предоставления комплексного решения относительно AI, внутренний аудит несет ответственность за надежность сторонних методов управления угрозами.

Р. Спуста утверждает, что по мере возрастания технологической и информационной зависимости компаний, отношения со сторонними поставщиками приобретают реципрокный характер (Статья «Third-Party Risks Need New Approaches» для Security Intelligence, 2019). Если в прошлом традиционной практикой выступало предоставление гарантий в форме результатов периодического аудита и / или показателей эффективности с позиции поставщика, то на сегодняшний день речь идет о более тесной совместной работе внутренних аудиторов с третьими сторонами для обеспечения целостного представления об операционных уязвимостях и мерах устранения оплошностей.

7.  Гибкость

Внутренний аудит должен предоставлять гарантии использования компанией инструментария искусственного интеллекта в соответствии с установленными отраслевыми стандартами и правилами. Несмотря на отсутствие общепринятого набора стандартов для AI, многие принципы указанной области уже разрабатываются на нескольких уровнях. Так, Международная организация по стандартам (ISO) опубликовала первые разработки для трех стандартов AI, что в будущем облегчит управление потенциальными рисками.

8.  Цена революции

Срочность, с которой фирмы пытаются использовать AI для получения конкурентного преимущества, а также потенциал оцифровки процедур проверки, сопровождаются установлением интуитивной связи между программами искусственного интеллекта, будущими выгодами и скоростью реформирования. В такой ситуации внутренним аудиторам следует обратить внимание на возврат инвестиций (ROI) в контексте внедрения AI. Прежде чем подсчитывать дивиденды, необходимо разработать четкие планы согласования нескольких вариантов использования AI бизнесом и суммы предусмотренных инвестиций.

В заключении стоит отметить, если компания все больше ориентируется на использование AI в текущих операциях, отделам внутреннего аудита не нужно ждать формирования окончательной цифровой модели проверки. Аудиторы могут начать с немедленного рассмотрения областей, которые послужат ключевыми компонентами будущей структуры аудита на основе AI. Корректировка подходов по мере продвижения оцифровки гарантирует разработку продуманного шаблона аудита AI в долгосрочной перспективе.

 

Источник:

https://www.corporatecomplianceinsights.com/ai-internal-audits-value/

Читайте также: