拥抱人工智能竞赛，但不要忽略项目审计

人工智能为世界各地的业务和组织创造了巨大的机会，那些用到了人工智能的企业和组织能够更快更好地应对未来的挑战和机遇。

图片来源：Kevin M. Alvero, CISA, CFE, SVP, Nielsen Internal Audit

在 Nielsen，我们继续重度依靠人工智能来掌控数据的力量，但这也仅仅是人工智能帮助我们所在组织的方式之一。随着公司发掘出利用人工智能的新方式，他们需要确保在人工智能开发过程中管理好任何相关的风险。这就是为什么我们的内部审计职能已经对人工智能采取了审计流程。组织必须保持警惕，确保自己在正确的地方做了正确的投资，以此来利用好人工智能所代表的那些机会，确保精确地评估人工智能相关的风险，确保人工智能项目与组织使命、价值观、文化和更大的技术战略保持一致。

在这方面，内部审计应该是一个有价值的盟友，但是，从审计角度来看，人工智能带来了许多挑战。首先，人工智能的定义是有些模糊的。同时，在广泛的业务活动中，组织正积极地寻求发展或者获取人工智能能力，人工智能程序和流程可能会非常复杂，并且是高技术性的。最后，对于人工智能是什么，以及人工智能能够做什么，市场上有许多炒作。

对人工智能进行审计的实践正在发展中。至于先进的人工智能技术，例如机器学习，没有统一的标准来监管这些人工智能技术。这些标准，以及审计人工智能技术的框架正在编写中。信息系统审计和控制协会（ISACA：Information Systems Audit and Control Association）已经发布了指引，用于将其已有的 COBIT 框架（用于监管企业级 IT）应用于人工智能，而内部审计院也提出了一种方法。以此同时，一系列组织，包括 NIST，ISO 和 ASTM，正在起草人工智能标准。但是，随着人工智能审计实践的不断发展，很明显，内部审计需要继续明确地关注战略和监管——确保组织有一个合理的人工智能战略，并且有一个鲁棒的监管结构来支持战略的执行。

定义人工智能

关于什么是人工智能，什么类型的技术应当被认为是人工智能技术，这些如果没有普遍共识的话，为人工智能审计建立标准是很难的。人们不仅对什么是人工智能有不同的看法，而且对于人工智能已经出现了多长时间也有不同看法。有些人采用了一种宽泛的观点，坚信人工智能出现的时间比大多数人认为的要早。其他人的观点则更狭隘一些，认为人工智能其实还不存在，现在所谓的人工智能技术实际上是被误解了。

通常被认为属于人工智能领域范畴的技术包括：深度学习、机器学习、图像识别、自然语言处理、认知计算、智能增强、认知增强、机器增强智能、增强智能等等，但是如何对这些技术分类和进行描述，各种消息来源之间存在着分歧。例如，一些人认为机器人过程自动化（RPA：Robotic Process Automation）是一种人工智能形式，因为它可以在各类大型数据集上执行高度复杂的算法，这类程序做决策的方式，让它看起来像是模拟了智能。另一方面，其他人，包括 ISACA，不同意这种说法，他们认为“人工智能并不是基于一系列预定义的规则来运行的”，这种基于规则的功能是“传统软件工程的标志”。

更进一步说，人工智能本身可以根据技术类型来细分。例如，美国内部审计协会（IIA：Institute of Internal Auditors）在 2017 年发布了以人工智能审计为主题的全球视角和见解报告（Global Perspectives and Insights），该报告引用了人工智能的四个分类（即：I-反应性机器，II-有限记忆，III-心智理论，IV-自我意识）。与此同时，Protiviti 公司在 2019 年的一项研究中，选择将机器学习、深度学习和自然语言处理合为一组，并将这些技术统称为“高级人工智能”。

确切地说，人工智能是什么，这看起来像是固执己见的人争论不休的话题，但是，这实际上是和人工智能内部审计、审计职能所输送价值，以及满足利益干系人期望方面是强相关的。当考虑什么样子的人工智能技术需要通过内部审计时，最重要的考虑因素就是要理解一个组织自己是怎样定义人工智能的。通过积极主动地发起公开对话，内部审计能够回答这样的问题：作为一个组织，当我们说起“人工智能”时，我们指的是什么？显然，对这个问题做出回答的一致性对于管理利益干系人期望是非常重要的，因为这个问题涉及到人工智能审计的范畴。但是，这个问题的答案还可以提供内部审计的洞察力，即组织对人工智能的定义是否足够广泛——或者足够狭窄——使其能够感知市场上的风险。

对人工智能进行审计

尽管人们对人工智能本质的看法不尽相同，但当说起人工智能审计的实践时，主流指导思想通常都认为内部审计仍应当聚焦在战略和监管上。

战略

如果没有一个清晰的和定期审查的战略，对人工智能能力的投资就只会产生令人失望的结果，甚至更糟糕的是，它们可能会导致组织财务上和/或名誉上的损害。内部审计感兴趣的应当是确认组织是否有人工智能战略的文档备案，并基于以下考虑来评估该战略的力量：

• 它是否清晰描述了人工智能活动的预期结果？

• 它是否包含了识别和解决人工智能威胁与机遇的计划？

• 它是在商业主管和技术主管之间协作开发的吗？

• 它是否与组织的使命、价值观和文化保持一致/兼容？

• 它是否会被审核并更新？

• 它是否考虑了利用人工智能技术所需的各项支持能力？

组织需要他们的内部审计部门询问这些类型的问题，而且不止一次询问，需要反复的询问。研究继续表明，组织希望他们的内部审计部门具有更多前瞻性，并提供更多价值，因为这涉及到评估战略风险。在说起支持能力时，应该注意到，2019 年董事会成员和 C-level 领导（如 CEO、CTO 等）最关心的是，他们现有的运营和基础设施将无法得到调整，从而能在“天赋异禀的数字”竞争对手中达到预期业绩。因此，内部审计员可以而且应该不断地处理这类问题——即组织的人工智能战略是否恰当，以及是否具有实际可执行性。

监管

和其他任何主要系统一样，组织需要为人工智能活动建立起恰当的监管体系，确保组织对人工智能具备恰当的控制和责任，并且判断人工智能项目是否如预期那样运转，以及是否实现了人工智能项目的目标。

同样，没有可靠的模板来管理人工智能。一位专家写道，“剧本还没有写出来”。但是，内部审计人员应该从大数据入手，探索业务主管的谨慎态度，即他们为支持人工智能应用而开发一套鲁棒的监管体系所持有的谨慎态度。

大数据组成了人工智能的基础能力，这意味着组织应当对他们的数据监管体系给予更多的关注。内部审计应当理解组织是如何确保他们的数据基础设施有能力适应人工智能活动的规模和复杂性（这个规模和复杂性是之前在人工智能战略中设定好的）的。同时，内部审计应当理解组织如何管理数据质量和一致性的风险，包括数据采集控制、访问权限、数据保存、分类（即命名）、编辑和处理规则。内部审计还应当考虑安全性、网络弹性和业务持续性，并评估组织在多大程度上准备处理数据威胁，这些数据威胁包括对数据准确性、完备性和可用性的威胁。

人工智能的价值和性能还取决于算法质量和计算准确度，人工智能在大数据上应用这些算法。组织必须拥有算法开发和质量控制的文档化方法，以此确保这些算法被正确编写，结果没有偏差，并且恰当地使用了数据。内部审计还应当理解如何验证人工智能系统决策的正确性，以及在这些决策受到挑战时，是否能够为其辩护。

除了监管数据和人工智能算法，还应当检查监管体系，以确定其是否满足以下方面：

• 明确建立了义务、责任和监督机制。

• 恰当地记录和遵守了策略及流程。

• 那些负责人工智能的人具备必要的技能和专业知识。

• 人工智能活动和人工智能相关的决策及行为，符合组织的价值观、伦理、社会和法律责任。

• 任何供应商都接受第三方风险管理流程。

审计部门

为了有效地对人工智能进行审计，内部审计职能必须确保他们拥有（或者能够获取）足够的资源，知识和技能来围绕人工智能进行审计，即使审计员工并不总是具有专家级的知识。这个已经被证明是很有挑战的了。根据 2018 年《北美内部审计脉动》（North American Pulse of Internal Audit），78%的首席审计执行官表示，招聘到具备数据挖掘和分析能力的员工是极其困难的。不管怎样，内部审计部门都应该通过培训和人才招聘来稳步增加其人工智能专业水平，因为在未来几年内，组织对人工智能的依赖只会增加。

人工智能审计的成功并不是直接依赖专业技术知识。成功取决于对战略、监管、风险和过程质量的评估——从独立的、跨部门的观点来看，所有这些都是内部审计所擅长的。当涉及到人工智能时，内部审计应该继续聚焦这些事情。

现在是时候关注人工智能审计了

尽管市场变化迅速，人工智能有时还定义含糊，但是内部审计却能够提供有价值的、基本的合理保障，能确保他们服务的组织在正确的方向上对人工智能进行投资，在涉及到人工智能时能够考虑到风险和机遇，并在业务目标上给予强大的执行力。内部审计师越早这么做越好，因为各种形式的人工智能并不会消失。人工智能的势头在上升。内部审计职能应当与其他业务流程一样，习惯于围绕人工智能进行审计和提供保障，因为在未来几年，越来越多的业务领域都将以某种方式利用人工智能技术。尽管新的技术和风险层出不穷，但关注战略和监管将使审计员能够做到上述这点。

原文链接：

https://medium.com/nielsen-forward/dont-let-the-race-to-embrace-ai-overshadow-the-needs-to-audit-your-advancements-a806a3e47259