擁抱人工智能競賽，但不要忽略項目審計

在 Nielsen，我們繼續重度依靠人工智能來掌控數據的力量，但這也僅僅是人工智能幫助我們所在組織的方式之一。隨著公司發掘出利用人工智能的新方式，他們需要確保在人工智能開發過程中管理好任何相關的風險。這就是為什么我們的內部審計職能已經對人工智能采取了審計流程。組織必須保持警惕，確保自己在正確的地方做了正確的投資，以此來利用好人工智能所代表的那些機會，確保精確地評估人工智能相關的風險，確保人工智能項目與組織使命、價值觀、文化和更大的技術戰略保持一致。

在這方面，內部審計應該是一個有價值的盟友，但是，從審計角度來看，人工智能帶來了許多挑戰。首先，人工智能的定義是有些模糊的。同時，在廣泛的業務活動中，組織正積極地尋求發展或者獲取人工智能能力，人工智能程序和流程可能會非常復雜，并且是高技術性的。最后，對于人工智能是什么，以及人工智能能夠做什么，市場上有許多炒作。

對人工智能進行審計的實踐正在發展中。至于先進的人工智能技術，例如機器學習，沒有統一的標準來監管這些人工智能技術。這些標準，以及審計人工智能技術的框架正在編寫中。信息系統審計和控制協會（ISACA：Information Systems Audit and Control Association）已經發布了指引，用于將其已有的 COBIT 框架（用于監管企業級 IT）應用于人工智能，而內部審計院也提出了一種方法。以此同時，一系列組織，包括 NIST，ISO 和 ASTM，正在起草人工智能標準。但是，隨著人工智能審計實踐的不斷發展，很明顯，內部審計需要繼續明確地關注戰略和監管——確保組織有一個合理的人工智能戰略，并且有一個魯棒的監管結構來支持戰略的執行。

關于什么是人工智能，什么類型的技術應當被認為是人工智能技術，這些如果沒有普遍共識的話，為人工智能審計建立標準是很難的。人們不僅對什么是人工智能有不同的看法，而且對于人工智能已經出現了多長時間也有不同看法。有些人采用了一種寬泛的觀點，堅信人工智能出現的時間比大多數人認為的要早。其他人的觀點則更狹隘一些，認為人工智能其實還不存在，現在所謂的人工智能技術實際上是被誤解了。

通常被認為屬于人工智能領域范疇的技術包括：深度學習、機器學習、圖像識別、自然語言處理、認知計算、智能增強、認知增強、機器增強智能、增強智能等等，但是如何對這些技術分類和進行描述，各種消息來源之間存在著分歧。例如，一些人認為機器人過程自動化（RPA：Robotic Process Automation）是一種人工智能形式，因為它可以在各類大型數據集上執行高度復雜的算法，這類程序做決策的方式，讓它看起來像是模擬了智能。另一方面，其他人，包括 ISACA，不同意這種說法，他們認為“人工智能并不是基于一系列預定義的規則來運行的”，這種基于規則的功能是“傳統軟件工程的標志”。

更進一步說，人工智能本身可以根據技術類型來細分。例如，美國內部審計協會（IIA：Institute of  Internal Auditors）在 2017 年發布了以人工智能審計為主題的全球視角和見解報告（Global Perspectives and Insights），該報告引用了人工智能的四個分類（即：I- 反應性機器，II- 有限記憶，III- 心智理論，IV- 自我意識）。與此同時，Protiviti 公司在 2019 年的一項研究中，選擇將機器學習、深度學習和自然語言處理合為一組，并將這些技術統稱為“高級人工智能”。

確切地說，人工智能是什么，這看起來像是固執己見的人爭論不休的話題，但是，這實際上是和人工智能內部審計、審計職能所輸送價值，以及滿足利益干系人期望方面是強相關的。當考慮什么樣子的人工智能技術需要通過內部審計時，最重要的考慮因素就是要理解一個組織自己是怎樣定義人工智能的。通過積極主動地發起公開對話，內部審計能夠回答這樣的問題：作為一個組織，當我們說起“人工智能”時，我們指的是什么？顯然，對這個問題做出回答的一致性對于管理利益干系人期望是非常重要的，因為這個問題涉及到人工智能審計的范疇。但是，這個問題的答案還可以提供內部審計的洞察力，即組織對人工智能的定義是否足夠廣泛——或者足夠狹窄——使其能夠感知市場上的風險。

盡管人們對人工智能本質的看法不盡相同，但當說起人工智能審計的實踐時，主流指導思想通常都認為內部審計仍應當聚焦在戰略和監管上。

如果沒有一個清晰的和定期審查的戰略，對人工智能能力的投資就只會產生令人失望的結果，甚至更糟糕的是，它們可能會導致組織財務上和 / 或名譽上的損害。內部審計感興趣的應當是確認組織是否有人工智能戰略的文檔備案，并基于以下考慮來評估該戰略的力量：

• 它是否清晰描述了人工智能活動的預期結果？

• 它是否包含了識別和解決人工智能威脅與機遇的計劃？

• 它是在商業主管和技術主管之間協作開發的嗎？

• 它是否與組織的使命、價值觀和文化保持一致 / 兼容？

• 它是否會被審核并更新？

• 它是否考慮了利用人工智能技術所需的各項支持能力？

組織需要他們的內部審計部門詢問這些類型的問題，而且不止一次詢問，需要反復的詢問。研究繼續表明，組織希望他們的內部審計部門具有更多前瞻性，并提供更多價值，因為這涉及到評估戰略風險。在說起支持能力時，應該注意到，2019 年董事會成員和 C-level 領導（如 CEO、CTO 等）最關心的是，他們現有的運營和基礎設施將無法得到調整，從而能在“天賦異稟的數字”競爭對手中達到預期業績。因此，內部審計員可以而且應該不斷地處理這類問題——即組織的人工智能戰略是否恰當，以及是否具有實際可執行性。

和其他任何主要系統一樣，組織需要為人工智能活動建立起恰當的監管體系，確保組織對人工智能具備恰當的控制和責任，并且判斷人工智能項目是否如預期那樣運轉，以及是否實現了人工智能項目的目標。

同樣，沒有可靠的模板來管理人工智能。一位專家寫道，“劇本還沒有寫出來”。但是，內部審計人員應該從大數據入手，探索業務主管的謹慎態度，即他們為支持人工智能應用而開發一套魯棒的監管體系所持有的謹慎態度。

大數據組成了人工智能的基礎能力，這意味著組織應當對他們的數據監管體系給予更多的關注。內部審計應當理解組織是如何確保他們的數據基礎設施有能力適應人工智能活動的規模和復雜性（這個規模和復雜性是之前在人工智能戰略中設定好的）的。同時，內部審計應當理解組織如何管理數據質量和一致性的風險，包括數據采集控制、訪問權限、數據保存、分類（即命名）、編輯和處理規則。內部審計還應當考慮安全性、網絡彈性和業務持續性，并評估組織在多大程度上準備處理數據威脅，這些數據威脅包括對數據準確性、完備性和可用性的威脅。

人工智能的價值和性能還取決于算法質量和計算準確度，人工智能在大數據上應用這些算法。組織必須擁有算法開發和質量控制的文檔化方法，以此確保這些算法被正確編寫，結果沒有偏差，并且恰當地使用了數據。內部審計還應當理解如何驗證人工智能系統決策的正確性，以及在這些決策受到挑戰時，是否能夠為其辯護。

除了監管數據和人工智能算法，還應當檢查監管體系，以確定其是否滿足以下方面：

• 明確建立了義務、責任和監督機制。

• 恰當地記錄和遵守了策略及流程。

• 那些負責人工智能的人具備必要的技能和專業知識。

• 人工智能活動和人工智能相關的決策及行為，符合組織的價值觀、倫理、社會和法律責任。

• 任何供應商都接受第三方風險管理流程。

為了有效地對人工智能進行審計，內部審計職能必須確保他們擁有（或者能夠獲取）足夠的資源，知識和技能來圍繞人工智能進行審計，即使審計員工并不總是具有專家級的知識。這個已經被證明是很有挑戰的了。根據 2018 年《北美內部審計脈動》（North American Pulse of Internal Audit），78% 的首席審計執行官表示，招聘到具備數據挖掘和分析能力的員工是極其困難的。不管怎樣，內部審計部門都應該通過培訓和人才招聘來穩步增加其人工智能專業水平，因為在未來幾年內，組織對人工智能的依賴只會增加。

人工智能審計的成功并不是直接依賴專業技術知識。成功取決于對戰略、監管、風險和過程質量的評估——從獨立的、跨部門的觀點來看，所有這些都是內部審計所擅長的。當涉及到人工智能時，內部審計應該繼續聚焦這些事情。

盡管市場變化迅速，人工智能有時還定義含糊，但是內部審計卻能夠提供有價值的、基本的合理保障，能確保他們服務的組織在正確的方向上對人工智能進行投資，在涉及到人工智能時能夠考慮到風險和機遇，并在業務目標上給予強大的執行力。內部審計師越早這么做越好，因為各種形式的人工智能并不會消失。人工智能的勢頭在上升。內部審計職能應當與其他業務流程一樣，習慣于圍繞人工智能進行審計和提供保障，因為在未來幾年，越來越多的業務領域都將以某種方式利用人工智能技術。盡管新的技術和風險層出不窮，但關注戰略和監管將使審計員能夠做到上述這點。

原文鏈接：

https://medium.com/nielsen-forward/dont-let-the-race-to-embrace-ai-overshadow-the-needs-to-audit-your-advancements-a806a3e47259

https://mp.weixin.qq.com/s/7JlMFZDved-N3oo_ZV7tMQ