曾繁榮

[摘要]人工智能被視為下一個數字前沿領域，內部審計部門有必要了解人工智能的基礎知識、可能扮演的角色、由此帶來的風險和機會以及在內部審計領域的運用。國際內部審計師協(xié)會（IIA）的人工智能審計框架及其各部分的有機聯系，為人工智能應用于審計領域提供了參考。

[關鍵詞] IIA 人工智能 審計框架

內部審計在人工智能中的作用，是幫助組織評

估、理解和傳達人工智能在短期、中期、長期內對組織價值所產生影響的程度（消極或積極）。為更好地履行職責，內審人員應利用IIA的人工智能審計框架，如圖1所示，為組織提供適當的人工智能咨詢與保證服務。IIA人工智能審計框架包括三大組成部分，即人工智能戰(zhàn)略、人工智能治理和人為因素，涉及七個要素，即網絡彈性、人工智能能力、數據質量、數據架構和基礎設施、衡量績效、倫理學和黑匣子。

一、人工智能戰(zhàn)略

每個組織人工智能戰(zhàn)略的獨特性基于其利用人工智能的方法。組織的人工智能戰(zhàn)略通常是其大數據戰(zhàn)略的自然延伸，應明確人工智能活動的預期結果及其與組織目標的關系，以及組織的人工智能技術能力、約束和愿望。這些應在組織各部門之間協(xié)作展開，專業(yè)技術人員也需要參與人工智能戰(zhàn)略的執(zhí)行。

人工智能依賴于大數據，因此在考慮人工智能之前，應充分開發(fā)和實施組織的大數據戰(zhàn)略。實際上，人工智能可以幫助組織從大數據中獲取洞察力。正如IIA在《全球技術審計指南》所指出的，通過這些洞察力，深入理解和審計大數據，組織可以做出更好的決策，以創(chuàng)造性和差異化的方式瞄準新客戶，為現有客戶提供獨特的服務。人工智能也可以發(fā)展成為組織持久的競爭優(yōu)勢。人工智能戰(zhàn)略部分涉及兩個要素：

要素1：網絡彈性

組織抵御、應對和從網絡攻擊中恢復的能力（包括故意濫用組織的人工智能技術）變得越來越重要。審計負責人需具備在其團隊內快速建立網絡安全的能力，持續(xù)監(jiān)控人工智能/網絡安全風險，并向高級管理層和董事會傳達組織所面臨的風險級別及應對此類風險的努力。

要素2：人工智能能力

當前，擁有人工智能專業(yè)知識的技術專業(yè)人才并不多。但即使難以使用人工智能來構建審計系統(tǒng)、即使缺乏廣泛的專業(yè)知識，組織仍然有必要為員工填補人工智能的知識空白，包括了解人工智能的工作原理、面臨的風險和機遇，明確人工智能結果是否符合預期、如何采取糾正措施等。

如表1所示，內部審計應了解人工智能如何運作及其帶來的風險和機遇等，還應有能力確定第三方技術提供者是否勝任人工智能的相關技術要求。

二、人工智能治理

人工智能治理是指用于指導、管理和監(jiān)控組織的人工智能活動的結構、流程和程序。治理結構和形式將根據組織的具體特征而有所不同。人工智能治理應包括建立問責制、責任和監(jiān)督；幫助確保具有人工智能職責的人員具備必要的技能和專業(yè)知識；確保人工智能活動和相關決策行動符合組織的價值觀、道德、社會和法律責任；為人工智能的整個生命周期建立政策和程序（從輸入到輸出），為培訓、衡量績效和報告制定政策和程序，如表2所示。

（一）問責、責任和監(jiān)督

人工智能既有可能帶來巨大利益，也有可能帶來巨大傷害。最終，利益相關者可能會讓董事會和管理層對其組織的人工智能結果負責。在評估人工智能治理時，內部審計人員可利用三道防線模型，如圖2所示。但三道防線以及高級管理層、管理機構、外部審計和監(jiān)管機構都在人工智能治理中發(fā)揮作用，內部審計人員應了解各方角色以及內部審計如何與它們對接。

1.監(jiān)管機構。通常監(jiān)管機構了解和控制各級組織的具體活動，其“了解”是通過開展研究、參與制定標準和指導以及與利益相關方溝通等活動來實現，其“控制”則是通過監(jiān)督、制定和執(zhí)行法規(guī)等實現。IIA指出，監(jiān)管機構通常設定旨在加強組織控制的要求、執(zhí)行獨立和客觀的功能，以評估第一、第二或第三道防線。當前還沒有專門針對人工智能的法規(guī)，但現有法規(guī)的某些條款可能與人工智能活動有關，世界各地的監(jiān)管機構和標準制定機構已通過研究、討論、建議和指導來表達關注。監(jiān)管機構已認識到人工智能審計的重要性。例如，美國食品和藥品管理局在其“關于醫(yī)療器械現有軟件使用（OTS）的指導”中，認識到與審計相關的OTS軟件（如人工智能、專家系統(tǒng)和神經網絡軟件）的重要性，要求制造商就“OTS軟件開發(fā)人員使用的產品開發(fā)方法適用于預期用途……”提供保證，并建議將OTS軟件開發(fā)人員使用的設計和開發(fā)方法納入審計范圍。內部審計人員應了解監(jiān)管機構和標準制定機構在人工智能領域的工作進展，向高級管理層和董事會提供建議，并評估組織的監(jiān)管控制目標是否反映了新的法規(guī)、標準和指導的要求。

2.領導層。董事會負責對組織的人工智能活動進行最終監(jiān)督。董事會應與高級管理層一起確定組織的人工智能戰(zhàn)略。內部審計部門應理解并充分了解人工智能以及組織的人工智能活動。除了為人工智能活動提供保證外，內部審計還應提供建議和見解，以確保董事會做好充分準備。

3.第一道防線。組織的運營部門負責人應隨時掌握人工智能所面臨的風險。內部審計部門應評估業(yè)務層面的人工智能政策和程序，核實控制目標是否充分并按設計要求運作。

4.第二道防線。合規(guī)性、道德規(guī)范、風險管理和信息隱私/安全性是監(jiān)督某些方面人工智能風險的第二道防線。內部審計部門應評估第二道防線人工智能的相關政策和程序，驗證控制目標是否達到并按設計運行。

5.第三道防線。內部審計應對人工智能風險、治理和控制提供獨立保證。監(jiān)管和標準制定機構已認識到人工智能在風險管理和合規(guī)性方面的潛力。金融穩(wěn)定委員會（FSB）在名為“金融服務中的人工智能和機器學習”的報告中指出，人工智能和機器學習的內部（后臺）應用可以改善風險管理、欺詐檢測和遵守法規(guī)要求并降低成本。同理，最先進的內部審計部門將開始使用算法，持續(xù)加強審計和監(jiān)控，提升有效性和效率。

6.外部審計。外部審計師是在組織中沒有既得利益的第三方，就是否根據適用的財務報告框架或法規(guī)編制財務報表發(fā)表意見。對于人工智能，外部審計師最關注相關結果。例如，模型風險管理或估值背后的算法，以及這些算法是否對組織的財務報表產生重大影響。

（二）法規(guī)遵從性

法規(guī)通常落后于技術變革，人工智能也不例外。但法規(guī)也會使人工智能的實施復雜化。例如，1996年《美國健康保險流通與責任法案》（HIPAA）和2018年《歐盟通用數據保護條例》（GDPR）等隱私相關法規(guī)強化了對個人身份信息的保護，而人工智能技術依賴于這些信息。

其他公認的法律問題還包括反歧視法的遵守，尤其是為組織提供人工智能服務的第三方。FSB總結了對第三方服務商的擔憂，稱當前許多人工智能和金融服務機器學習提供商不在監(jiān)管范圍之內，或不熟悉適用的法律法規(guī)。若金融機構依賴第三方人工智能和機器學習服務商提供關鍵功能，且外包規(guī)則不到位或不被理解，則這些服務商和提供商可能不受監(jiān)督和監(jiān)管。同樣，若此類工具的提供者開始向機構或零售客戶提供金融服務，那么金融活動可能游離于監(jiān)管之外。

組織不應坐等監(jiān)管環(huán)境與技術環(huán)境的同步改觀。即使現有法規(guī)未具體涉及人工智能，組織也應掌握人工智能活動是否符合現行法律法規(guī)。其中一種方法是預設場景，分析人工智能活動是否用于惡意或犯罪活動，或導致意外后果造成傷害。同時，若人工智能學會超越既定規(guī)則，或人工智能系統(tǒng)學習如何相互溝通并在沒有組織的情況下“共同工作”，人工智能活動可能會減少內控力度。考慮到現行法律法規(guī)的規(guī)定，采取積極主動的方法將有助于組織在新法規(guī)生效時保持靈活。

人工智能治理部分涉及三個要素：

要素3：數據質量

用于構建人工智能算法的數據的完整性、準確性和可靠性至關重要。為了使人工智能成功，組織需要獲取大量高質量的數據，即定義明確且標準化格式的數據。但除了在標準化格式（結構化數據）中明確定義的數據之外，人工智能技術可能還依賴于非結構化數據（如社交媒體帖子）。但正如IIA指出的，非結構化數據由于其不斷變化和不可預測的特性，通常更難管理，因而有必要開發(fā)新的解決方案來管理和分析這些數據。如表3所示。

要素4：數據架構和基礎設施

人工智能的數據架構和基礎設施可能與組織處理大數據的架構和基礎設施相同或相近。它包括以下因素：數據可訪問的方式（元數據、分類、唯一標識符和命名約定）；整個數據生命周期（數據收集、使用、存儲和銷毀）中的信息隱私和安全性；數據生命周期中所有權和使用權的角色和職責。

組織應關注軟件開發(fā)的三個主要領域，以確保人工智能集成的成功。一是數據集成，即在將人工智能整合到組織的應用程序和系統(tǒng)之前，必須集成多個不同來源的數據；二是應用程序現代化，即需要定期更新軟件，且更新頻率應該加快；三是員工教育，即軟件開發(fā)人員、項目經理和其他技術人員需要跟上機器學習和技術“堆?！保ㄟ\行人工智能需要的軟件和組件）的各個方面。此外，應對數據進行協(xié)調，以便在輸入之前對諸如四舍五入、人口統(tǒng)計和其他變量等細微差別進行標準化，如表4所示。

要素5：衡量績效

內部審計的定位對于組織衡量人工智能計劃績效的能力至關重要。在規(guī)劃階段，內部審計可以提供建立指標的建議，為管理層和董事會提供充分、可靠、相關和有用的信息。但是內部審計不得包辦建立或擁有人工智能績效指標。在已實施人工智能的組織中，內部審計應提供對第一道防線控制和與人工智能相關的第二道防線監(jiān)督的保證，如表5所示。

三、人為因素

人為因素是指人為錯誤帶來的風險，從而影響人工智能實現預期結果的能力。人為因素部分涉及兩個要素：

要素6：倫理學

人類開發(fā)的算法可能包含人為錯誤和偏見（有意或無意），這類算法將影響算法的性能。人為因素應考慮：識別和管理人工智能設計中存在的無意的人為偏差風險；人工智能是否已經過有效測試，以確保結果反映最初的目標；鑒于復雜性，AI技術可以是透明的，以確保人工智能正在合法、合乎道德和負責任地使用。

麥肯錫公司最新的一份報告顯示，部分公司將很快使機器學習應用于商業(yè)決策。這類程序設置了復雜的算法，以處理大型、經常刷新的數據集。然而，算法偏差是有風險的業(yè)務，因為它一旦被低估，便可能有違機器學習的初衷，且難以控制。更重要的是，在業(yè)務決策之外，算法偏差可能導致錯誤，從而引發(fā)一些問題。

要素7：黑匣子

黑匣子通常是很復雜的電子設備，其內部機制對用戶隱藏或保持神秘。一般而言，它是任何具有神秘或未知內部功能或機制的東西。隨著組織的人工智能活動變得更加復雜，黑匣子要素將越來越具挑戰(zhàn)性，如表6所示。

IIA的人工智能審計框架將幫助內部審計人員以系統(tǒng)和規(guī)范的方式處理人工智能咨詢和保證服務。無論組織的人工智能技術和活動是通過內部開發(fā)還是第三方開發(fā)，內部審計都應準備好向董事會和高級管理層提出建議，協(xié)調第一和第二道防線，并為人工智能風險管理、治理和控制提供保證。

（作者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）