報告原文:Responsible AI: Now that AI is part of your business, what does it mean for audits?
人工智慧(AI)正在重塑商業模式,企業從財務到內部稽核,從資訊到研發部門,將以前所未有的速度與觀點擴大AI的使用。不只是企業本身,客戶、供應商以及協助評估控制與法遵的團隊,也都將持續朝AI邁進。這是龐大且複雜的議題,因為沒有明確的標準,而變得更棘手。唯一可以確定的是:當AI成為企業流程的一部分,勢必也將成為審計的一部分。
- AI成為審計的一環
- 審計團隊會需要的
- 審計如何做好準備
- 法遵準備
- 從就緒到充滿信心
AI成為審計的一環
- 人工智慧(AI)正在重塑商業模式,企業從財務到內部稽核,從資訊到研發部門,將以前所未有的速度與觀點擴大AI的使用。不只是企業本身,客戶、供應商以及協助評估控制與法遵的團隊,也都將持續朝AI邁進。
- 隨之而來的問題是:AI導入程度的提升,對審計與確信的意義為何?
- 財務長將關注AI為財務報告內部控制(ICFR)帶來的影響;審計委員會在意的則是他們的監督是否跟上AI發展腳步;內部稽核團隊則會嘗試理解,在AI賦能的流程中,會需要哪些新的資料、文件及查核證據。
- 這是龐大且複雜的議題,因為沒有明確的標準,而變得更棘手。唯一可以確定的是:當AI成為企業流程的一部分,勢必也將成為審計的一部分。
審計團隊會需要的
- 為審計審核做好準備,並不代表要放慢在AI的投入,但仍要持續實踐「負責任的AI」。不論是使用AI來支援決策、客戶互動還是內部營運,組織都必須能夠解釋AI如何被運用,以及企業如何治理、記錄與控管之。這是建立審計團隊與投資人間的信任之關鍵。
- 審計員必須建立一套從上而下的方法,審視組織如何透過政策、程序與架構,進行AI風險管理並監控新的系統與功能。這可能包括組織如何應對新的AI風險、如何定義風險胃納(risk appetite)以及如何處理例外情況;與AI問責相關的角色與權責,也可能涵蓋其中。此外,企業可能被要求提供相關文件,證明關鍵措施能有效運作。
- 舉例來說,假設組織要求部署模型前需先完成風險評估,審計人員不僅要確認是否有此規範,更應關注其是否被落實;另外,還包括對模型的審閱意見、事件呈報的證明,以及可解釋性與偏誤審查的相關資料。AI治理時常會導入傳統控制架構以外的審查行動,若您將這些行動列為計畫的一部分,審計人員也將要求提供相關證明,以了解其在實務上如何運作。
審計如何做好準備
無論組織處於AI導入的哪個階段,以下是著手建立符合審計要求之AI的方法:
- 建立健全的治理:
治理須涵蓋如何決定要採用哪個模型與工具,隨著時間推移這些工具如何被監控,以及如何處理可解釋性與資料血緣的議題,尤其是當結果涉及財報或者對外揭露資訊時。內部稽核可以扮演關鍵角色,包括評估新興風險、驗證控制措施的設計,並審視治理措施是否如期運作。
組織須將AI風險整合進現行的風險管理體系中,包括企業風險分類體系以及風險與控制自我評估(RCSAs),這些措施可協助組織證明其確實理解AI帶來的獨特風險,且具備相應的流程、工具及能力,有效評估、監控並減緩風險。 - 提升職能並使團隊一致:
審計是否準備就緒,取決於團隊能否解釋AI如何被使用、治理,以及其結果為何可靠且準確。流程與控制措施的管理者,必須接受訓練、具備相關背景知識,以確保其能參與審計對話,並清楚解釋AI的用途、如何被監控,以及為什麼可信。 - 建立AI應用案例清單:
組織要能清楚辨認AI被用在那些商業層面上,最有效的方法就是建立一份清單,並維護其完整性與準確性,將這份應用案例清單與核心業務流程串聯,並標示出與監管領域相關的部分。關鍵在於展現組織對AI應用案例及其風險等級的了解。
組織不能只仰賴員工自述來建立這份清單,必須建立一套流程以識別潛在的「影子AI」,或者第三方工具的嵌入式功能、未經准許的部署,以及系統更新帶入的新AI功能等容易被忽略的部分。這將有助於確實盤點所有AI應用案例。組織應確保所有AI應用案例的可視性,包括嵌入式工具或者由第三方支援的功能,這對於風險評估與審計準備至關重要。 - 採取以風險應對為基礎的做法:
並不是所有AI應用的風險都一樣。因此,治理的方法,包括政策、程序及控制措施,也要因應AI使用方式做出調整。組織可以考慮採用分類模型,使AI應用案例的評估標準化。結構化的分類方式及後設資料策略,將有助於持續推動治理,並確保確信工作能跟上創新的腳步。
以文件摘要為例,其風險可能低於許多複雜的應用(如AI草擬財報與監管文件提交時的自主決策)。因此,明確的分類方法將有助於組織更快釐清,哪些地方需要更嚴謹的治理測試或是更多驗證要求。為了能建立這套方法,企業必須針對每個應用案例建立正確的後設資料,例如業務功能、監管背景、相關法案以及資料敏感度。不只是審計準備,當企業將AI導入到組織內部上百甚至上千個應用案例中時,此做法也相當重要。 - 驗證AI輸出結果:
組織須針對每個應用案例,定義如何確認其AI生成結果的可靠性,包括找出所有為解決模型設計中揭露的風險而進行的額外審查。當AI被用於財報時,輸出結果的驗證更為重要。當組織能對AI輸出結果展現信心時,與審計員等外部利害關係人的溝通也將更順暢。
驗證用於審計的AI輸出,意味著能夠具體證明結果是可靠、經過驗證且受到適當治理的。而有助於展現審計準備度的文件包括:模型風險評估或驗證簽核、審閱註記或批准流程、異常記錄及問題呈報文件、附有人工審核證明的輸出樣本、監控報告、備用控制措施或人工推翻決策的文件等。 - 明確定義並審查流程與結果、備用機制及預期的效能。由於許多AI系統是基於可能性而非固定規則生成結果,其結果可能不具確定性,審計人員會想了解組織如何應對這樣的風險,包括當AI放大或取代控制流程時,如何定義及實施測試和審查要求。當生成式AI被拿來製作敘述性揭露或總結財務績效時,要定義一套固定、準確的生成模式可能不切實際。因此,審計人員會透過了解指令是如何被建構的、輸出結果如何被審查及批准,以及如何識別與監控幻覺風險等方式,來確認控制措施是否被落實。
法遵準備
- 清楚標註AI在財報中的使用時機與方式:應明確標註出日記帳分錄自動化、會計估計、結帳流程或其他法規相關的領域中的AI使用情況,並納入法遵計畫中。
- 展示AI輸出結果如何被驗證:說明企業如何對用於財報與監管揭露的AI生成內容抱持信心。
- 測試AI控制措施相關設計與有效性:記錄控制措施的設計方式、如何持續運作以及如何進行測試,並展示AI系統與工具的開發、部署與測試方式。此外,組織可能還需要更新風險控制矩陣(RCMs),以反映AI的使用,包括產出是否由AI生成、審查或支援。
- 準備法遵文件:確認風險控制矩陣、敘述性文件和流程圖能如實反映AI的使用。忽略此步驟可能導致組織與審計人員在審查過程中無法順利對接。
- 設有流程負責人:負責財報流程的人員應該能夠解釋AI的使用方式、可能出現的問題,以及如何透過控制措施的更新減緩風險。
從就緒到充滿信心
- 不論是導入自動化AI、預測式AI還是將其嵌入到第三方工具中,組織都應準備好在審計過程中解釋其使用方式。「準備就緒」意味著企業能展示治理方式、文件記錄以及控制措施,從而取得審計人員與利害關係人的信任。
- 審計準備並非單次任務,而是持續的承諾。隨著AI技術發展,對於治理與確信的期望也將隨之改變。現在就建立強大的治理、盤點以及驗證措施,才能確保審計人員提出問題時,組織能夠充滿自信的應答,並闡明企業如何負責任的使用AI。
關注我們
