曾繁榮

[摘要]人工智能被視為下一個數(shù)字前沿領(lǐng)域，內(nèi)部審計部門有必要了解人工智能的基礎(chǔ)知識、可能扮演的角色、由此帶來的風(fēng)險和機會以及在內(nèi)部審計領(lǐng)域的運用。國際內(nèi)部審計師協(xié)會（IIA）的人工智能審計框架及其各部分的有機聯(lián)系，為人工智能應(yīng)用于審計領(lǐng)域提供了參考。

[關(guān)鍵詞] IIA 人工智能 審計框架

內(nèi)部審計在人工智能中的作用，是幫助組織評

估、理解和傳達人工智能在短期、中期、長期內(nèi)對組織價值所產(chǎn)生影響的程度（消極或積極）。為更好地履行職責(zé)，內(nèi)審人員應(yīng)利用IIA的人工智能審計框架，如圖1所示，為組織提供適當?shù)娜斯ぶ悄茏稍兣c保證服務(wù)。IIA人工智能審計框架包括三大組成部分，即人工智能戰(zhàn)略、人工智能治理和人為因素，涉及七個要素，即網(wǎng)絡(luò)彈性、人工智能能力、數(shù)據(jù)質(zhì)量、數(shù)據(jù)架構(gòu)和基礎(chǔ)設(shè)施、衡量績效、倫理學(xué)和黑匣子。

一、人工智能戰(zhàn)略

每個組織人工智能戰(zhàn)略的獨特性基于其利用人工智能的方法。組織的人工智能戰(zhàn)略通常是其大數(shù)據(jù)戰(zhàn)略的自然延伸，應(yīng)明確人工智能活動的預(yù)期結(jié)果及其與組織目標的關(guān)系，以及組織的人工智能技術(shù)能力、約束和愿望。這些應(yīng)在組織各部門之間協(xié)作展開，專業(yè)技術(shù)人員也需要參與人工智能戰(zhàn)略的執(zhí)行。

人工智能依賴于大數(shù)據(jù)，因此在考慮人工智能之前，應(yīng)充分開發(fā)和實施組織的大數(shù)據(jù)戰(zhàn)略。實際上，人工智能可以幫助組織從大數(shù)據(jù)中獲取洞察力。正如IIA在《全球技術(shù)審計指南》所指出的，通過這些洞察力，深入理解和審計大數(shù)據(jù)，組織可以做出更好的決策，以創(chuàng)造性和差異化的方式瞄準新客戶，為現(xiàn)有客戶提供獨特的服務(wù)。人工智能也可以發(fā)展成為組織持久的競爭優(yōu)勢。人工智能戰(zhàn)略部分涉及兩個要素：

要素1：網(wǎng)絡(luò)彈性

組織抵御、應(yīng)對和從網(wǎng)絡(luò)攻擊中恢復(fù)的能力（包括故意濫用組織的人工智能技術(shù)）變得越來越重要。審計負責(zé)人需具備在其團隊內(nèi)快速建立網(wǎng)絡(luò)安全的能力，持續(xù)監(jiān)控人工智能/網(wǎng)絡(luò)安全風(fēng)險，并向高級管理層和董事會傳達組織所面臨的風(fēng)險級別及應(yīng)對此類風(fēng)險的努力。

要素2：人工智能能力

當前，擁有人工智能專業(yè)知識的技術(shù)專業(yè)人才并不多。但即使難以使用人工智能來構(gòu)建審計系統(tǒng)、即使缺乏廣泛的專業(yè)知識，組織仍然有必要為員工填補人工智能的知識空白，包括了解人工智能的工作原理、面臨的風(fēng)險和機遇，明確人工智能結(jié)果是否符合預(yù)期、如何采取糾正措施等。

如表1所示，內(nèi)部審計應(yīng)了解人工智能如何運作及其帶來的風(fēng)險和機遇等，還應(yīng)有能力確定第三方技術(shù)提供者是否勝任人工智能的相關(guān)技術(shù)要求。

二、人工智能治理

人工智能治理是指用于指導(dǎo)、管理和監(jiān)控組織的人工智能活動的結(jié)構(gòu)、流程和程序。治理結(jié)構(gòu)和形式將根據(jù)組織的具體特征而有所不同。人工智能治理應(yīng)包括建立問責(zé)制、責(zé)任和監(jiān)督；幫助確保具有人工智能職責(zé)的人員具備必要的技能和專業(yè)知識；確保人工智能活動和相關(guān)決策行動符合組織的價值觀、道德、社會和法律責(zé)任；為人工智能的整個生命周期建立政策和程序（從輸入到輸出），為培訓(xùn)、衡量績效和報告制定政策和程序，如表2所示。

（一）問責(zé)、責(zé)任和監(jiān)督

人工智能既有可能帶來巨大利益，也有可能帶來巨大傷害。最終，利益相關(guān)者可能會讓董事會和管理層對其組織的人工智能結(jié)果負責(zé)。在評估人工智能治理時，內(nèi)部審計人員可利用三道防線模型，如圖2所示。但三道防線以及高級管理層、管理機構(gòu)、外部審計和監(jiān)管機構(gòu)都在人工智能治理中發(fā)揮作用，內(nèi)部審計人員應(yīng)了解各方角色以及內(nèi)部審計如何與它們對接。

1.監(jiān)管機構(gòu)。通常監(jiān)管機構(gòu)了解和控制各級組織的具體活動，其“了解”是通過開展研究、參與制定標準和指導(dǎo)以及與利益相關(guān)方溝通等活動來實現(xiàn)，其“控制”則是通過監(jiān)督、制定和執(zhí)行法規(guī)等實現(xiàn)。IIA指出，監(jiān)管機構(gòu)通常設(shè)定旨在加強組織控制的要求、執(zhí)行獨立和客觀的功能，以評估第一、第二或第三道防線。當前還沒有專門針對人工智能的法規(guī)，但現(xiàn)有法規(guī)的某些條款可能與人工智能活動有關(guān)，世界各地的監(jiān)管機構(gòu)和標準制定機構(gòu)已通過研究、討論、建議和指導(dǎo)來表達關(guān)注。監(jiān)管機構(gòu)已認識到人工智能審計的重要性。例如，美國食品和藥品管理局在其“關(guān)于醫(yī)療器械現(xiàn)有軟件使用（OTS）的指導(dǎo)”中，認識到與審計相關(guān)的OTS軟件（如人工智能、專家系統(tǒng)和神經(jīng)網(wǎng)絡(luò)軟件）的重要性，要求制造商就“OTS軟件開發(fā)人員使用的產(chǎn)品開發(fā)方法適用于預(yù)期用途……”提供保證，并建議將OTS軟件開發(fā)人員使用的設(shè)計和開發(fā)方法納入審計范圍。內(nèi)部審計人員應(yīng)了解監(jiān)管機構(gòu)和標準制定機構(gòu)在人工智能領(lǐng)域的工作進展，向高級管理層和董事會提供建議，并評估組織的監(jiān)管控制目標是否反映了新的法規(guī)、標準和指導(dǎo)的要求。

2.領(lǐng)導(dǎo)層。董事會負責(zé)對組織的人工智能活動進行最終監(jiān)督。董事會應(yīng)與高級管理層一起確定組織的人工智能戰(zhàn)略。內(nèi)部審計部門應(yīng)理解并充分了解人工智能以及組織的人工智能活動。除了為人工智能活動提供保證外，內(nèi)部審計還應(yīng)提供建議和見解，以確保董事會做好充分準備。

3.第一道防線。組織的運營部門負責(zé)人應(yīng)隨時掌握人工智能所面臨的風(fēng)險。內(nèi)部審計部門應(yīng)評估業(yè)務(wù)層面的人工智能政策和程序，核實控制目標是否充分并按設(shè)計要求運作。

4.第二道防線。合規(guī)性、道德規(guī)范、風(fēng)險管理和信息隱私/安全性是監(jiān)督某些方面人工智能風(fēng)險的第二道防線。內(nèi)部審計部門應(yīng)評估第二道防線人工智能的相關(guān)政策和程序，驗證控制目標是否達到并按設(shè)計運行。

5.第三道防線。內(nèi)部審計應(yīng)對人工智能風(fēng)險、治理和控制提供獨立保證。監(jiān)管和標準制定機構(gòu)已認識到人工智能在風(fēng)險管理和合規(guī)性方面的潛力。金融穩(wěn)定委員會（FSB）在名為“金融服務(wù)中的人工智能和機器學(xué)習(xí)”的報告中指出，人工智能和機器學(xué)習(xí)的內(nèi)部（后臺）應(yīng)用可以改善風(fēng)險管理、欺詐檢測和遵守法規(guī)要求并降低成本。同理，最先進的內(nèi)部審計部門將開始使用算法，持續(xù)加強審計和監(jiān)控，提升有效性和效率。

6.外部審計。外部審計師是在組織中沒有既得利益的第三方，就是否根據(jù)適用的財務(wù)報告框架或法規(guī)編制財務(wù)報表發(fā)表意見。對于人工智能，外部審計師最關(guān)注相關(guān)結(jié)果。例如，模型風(fēng)險管理或估值背后的算法，以及這些算法是否對組織的財務(wù)報表產(chǎn)生重大影響。

（二）法規(guī)遵從性

法規(guī)通常落后于技術(shù)變革，人工智能也不例外。但法規(guī)也會使人工智能的實施復(fù)雜化。例如，1996年《美國健康保險流通與責(zé)任法案》（HIPAA）和2018年《歐盟通用數(shù)據(jù)保護條例》（GDPR）等隱私相關(guān)法規(guī)強化了對個人身份信息的保護，而人工智能技術(shù)依賴于這些信息。

其他公認的法律問題還包括反歧視法的遵守，尤其是為組織提供人工智能服務(wù)的第三方。FSB總結(jié)了對第三方服務(wù)商的擔(dān)憂，稱當前許多人工智能和金融服務(wù)機器學(xué)習(xí)提供商不在監(jiān)管范圍之內(nèi)，或不熟悉適用的法律法規(guī)。若金融機構(gòu)依賴第三方人工智能和機器學(xué)習(xí)服務(wù)商提供關(guān)鍵功能，且外包規(guī)則不到位或不被理解，則這些服務(wù)商和提供商可能不受監(jiān)督和監(jiān)管。同樣，若此類工具的提供者開始向機構(gòu)或零售客戶提供金融服務(wù)，那么金融活動可能游離于監(jiān)管之外。

組織不應(yīng)坐等監(jiān)管環(huán)境與技術(shù)環(huán)境的同步改觀。即使現(xiàn)有法規(guī)未具體涉及人工智能，組織也應(yīng)掌握人工智能活動是否符合現(xiàn)行法律法規(guī)。其中一種方法是預(yù)設(shè)場景，分析人工智能活動是否用于惡意或犯罪活動，或?qū)е乱馔夂蠊斐蓚?。同時，若人工智能學(xué)會超越既定規(guī)則，或人工智能系統(tǒng)學(xué)習(xí)如何相互溝通并在沒有組織的情況下“共同工作”，人工智能活動可能會減少內(nèi)控力度?？紤]到現(xiàn)行法律法規(guī)的規(guī)定，采取積極主動的方法將有助于組織在新法規(guī)生效時保持靈活。

人工智能治理部分涉及三個要素：

要素3：數(shù)據(jù)質(zhì)量

用于構(gòu)建人工智能算法的數(shù)據(jù)的完整性、準確性和可靠性至關(guān)重要。為了使人工智能成功，組織需要獲取大量高質(zhì)量的數(shù)據(jù)，即定義明確且標準化格式的數(shù)據(jù)。但除了在標準化格式（結(jié)構(gòu)化數(shù)據(jù)）中明確定義的數(shù)據(jù)之外，人工智能技術(shù)可能還依賴于非結(jié)構(gòu)化數(shù)據(jù)（如社交媒體帖子）。但正如IIA指出的，非結(jié)構(gòu)化數(shù)據(jù)由于其不斷變化和不可預(yù)測的特性，通常更難管理，因而有必要開發(fā)新的解決方案來管理和分析這些數(shù)據(jù)。如表3所示。

要素4：數(shù)據(jù)架構(gòu)和基礎(chǔ)設(shè)施

人工智能的數(shù)據(jù)架構(gòu)和基礎(chǔ)設(shè)施可能與組織處理大數(shù)據(jù)的架構(gòu)和基礎(chǔ)設(shè)施相同或相近。它包括以下因素：數(shù)據(jù)可訪問的方式（元數(shù)據(jù)、分類、唯一標識符和命名約定）；整個數(shù)據(jù)生命周期（數(shù)據(jù)收集、使用、存儲和銷毀）中的信息隱私和安全性；數(shù)據(jù)生命周期中所有權(quán)和使用權(quán)的角色和職責(zé)。

組織應(yīng)關(guān)注軟件開發(fā)的三個主要領(lǐng)域，以確保人工智能集成的成功。一是數(shù)據(jù)集成，即在將人工智能整合到組織的應(yīng)用程序和系統(tǒng)之前，必須集成多個不同來源的數(shù)據(jù)；二是應(yīng)用程序現(xiàn)代化，即需要定期更新軟件，且更新頻率應(yīng)該加快；三是員工教育，即軟件開發(fā)人員、項目經(jīng)理和其他技術(shù)人員需要跟上機器學(xué)習(xí)和技術(shù)“堆棧”（運行人工智能需要的軟件和組件）的各個方面。此外，應(yīng)對數(shù)據(jù)進行協(xié)調(diào)，以便在輸入之前對諸如四舍五入、人口統(tǒng)計和其他變量等細微差別進行標準化，如表4所示。

要素5：衡量績效

內(nèi)部審計的定位對于組織衡量人工智能計劃績效的能力至關(guān)重要。在規(guī)劃階段，內(nèi)部審計可以提供建立指標的建議，為管理層和董事會提供充分、可靠、相關(guān)和有用的信息。但是內(nèi)部審計不得包辦建立或擁有人工智能績效指標。在已實施人工智能的組織中，內(nèi)部審計應(yīng)提供對第一道防線控制和與人工智能相關(guān)的第二道防線監(jiān)督的保證，如表5所示。

三、人為因素

人為因素是指人為錯誤帶來的風(fēng)險，從而影響人工智能實現(xiàn)預(yù)期結(jié)果的能力。人為因素部分涉及兩個要素：

要素6：倫理學(xué)

人類開發(fā)的算法可能包含人為錯誤和偏見（有意或無意），這類算法將影響算法的性能。人為因素應(yīng)考慮：識別和管理人工智能設(shè)計中存在的無意的人為偏差風(fēng)險；人工智能是否已經(jīng)過有效測試，以確保結(jié)果反映最初的目標；鑒于復(fù)雜性，AI技術(shù)可以是透明的，以確保人工智能正在合法、合乎道德和負責(zé)任地使用。

麥肯錫公司最新的一份報告顯示，部分公司將很快使機器學(xué)習(xí)應(yīng)用于商業(yè)決策。這類程序設(shè)置了復(fù)雜的算法，以處理大型、經(jīng)常刷新的數(shù)據(jù)集。然而，算法偏差是有風(fēng)險的業(yè)務(wù)，因為它一旦被低估，便可能有違機器學(xué)習(xí)的初衷，且難以控制。更重要的是，在業(yè)務(wù)決策之外，算法偏差可能導(dǎo)致錯誤，從而引發(fā)一些問題。

要素7：黑匣子

黑匣子通常是很復(fù)雜的電子設(shè)備，其內(nèi)部機制對用戶隱藏或保持神秘。一般而言，它是任何具有神秘或未知內(nèi)部功能或機制的東西。隨著組織的人工智能活動變得更加復(fù)雜，黑匣子要素將越來越具挑戰(zhàn)性，如表6所示。

IIA的人工智能審計框架將幫助內(nèi)部審計人員以系統(tǒng)和規(guī)范的方式處理人工智能咨詢和保證服務(wù)。無論組織的人工智能技術(shù)和活動是通過內(nèi)部開發(fā)還是第三方開發(fā)，內(nèi)部審計都應(yīng)準備好向董事會和高級管理層提出建議，協(xié)調(diào)第一和第二道防線，并為人工智能風(fēng)險管理、治理和控制提供保證。

（作者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）