Główne wnioski
- Audyt wewnętrzny odgrywa coraz ważniejszą rolę w strategii wykorzystania AI, oferując niezależny nadzór, który jest niezbędny do skutecznego zarządzania ryzykiem i budowania zaufania.
- Wczesne zaangażowanie audytu w cykl życia systemów AI pomaga wspierać ich odpowiedzialne użytkowanie i uniknąć luk w zarządzaniu czy szkód reputacyjnych.
- Spójny nadzór nad AI, uwzględniający udział audytu wewnętrznego, wzmacnia zaufanie interesariuszy i podkreśla dojrzałość organizacji w obszarze ładu korporacyjnego.
To szósty artykuł z serii poświęconej temu, w jaki sposób odpowiedzialne podejście do AI wspiera zarządzanie ryzykiem, tworzenie wartości oraz skalowanie innowacji w organizacjach. Przeczytaj poprzednie.
Obecnie można śmiało stwierdzić, że sztuczna inteligencja funkcjonuje już niemalże w każdej organizacji – w tym w formie tzw. „shadow AI”. Zakres jej wykorzystania coraz częściej wykracza poza obszary backoffice’owe i obejmuje kluczowe procesy zachodzące bezpośrednio w relacji między firmą a klientem np. realizacja zadań w ramach centrum obsługi klienta, czy też wsparcie decydentów w podejmowaniu decyzji strategicznych dla organizacji (poprzez zaawansowaną analitykę danych i prognozy finansowe). Rozwojowi technologii AI oraz rosnącej gotowości organizacji do jej wdrażania często towarzyszą wyzwania ujawniające się w trzech kluczowych wymiarach: ludzi, technologii i procesów.
W praktyce polega to na zdolności organizacji do wszechstronnego zidentyfikowania i przeanalizowania kluczowych ryzyk, a następnie ustanowienia odpowiednich mechanizmów kontroli. Brak tych elementów może w konsekwencji narazić organizację na realne problemy dotyczące wdrażania i wykorzystywania AI w sposób bezpieczny i etyczny. Gdzie w tym wszystkim jest miejsce dla jednostki audytu wewnętrznego?
Audyt wewnętrzny stoi dziś przed istotnym wyborem: czy aktywnie włączyć się i realnie wspierać kształtowanie ładu korporacyjnego i zasad nadzoru nad AI, czy ograniczyć się do analiz post factum lub reakcji po materializacji ryzyka, np. awarii modelu, wycieku danych lub naruszeniu wymogów regulacyjnych, które mogą odbić się na reputacji organizacji.
Będąc niezależnym arbitrem, audyt wewnętrzny znajduje się w wyjątkowej pozycji – może analizować i oceniać podejście organizacji do strategii wykorzystania AI. Ma również możliwość wypowiedzenia się w kwestii przyjętych zasad odpowiedzialnego projektowania i wykorzystywania tej technologii, a także weryfikacji efektywności wdrożonych mechanizmów kontrolnych.
Aktywne zaangażowanie audytu wewnętrznego i ocena zasad i praktyk zarządzania AI, może nie tylko pomóc organizacji w skutecznym zarządzaniu ryzykiem i budowaniu zaufania, ale także umocnić pozycję funkcji audytu wewnętrznego jako strategicznego partnera w odpowiedzialnym wdrażaniu innowacji.
Jak sztuczna inteligencja w szybkim tempie zmienia status quo audytu wewnętrznego?
Tak jak dekadę temu cyberbezpieczeństwo stało się jednym z priorytetów dla audytorów, tak dziś i nie bez powodu, AI przyciąga szczególną uwagę komitetów audytowych, zarządów i rad nadzorczych.
Chęć wykorzystania sztucznej inteligencji skłania, a czasami nawet zmusza, do zmiany podejścia do kluczowych procesów i modelów biznesowych. Za tym idzie konieczność dostosowania zasad i praktyk w obszarze ładu korporacyjnego oraz zarządzania ryzykiem, które często są obszarem zainteresowania i analiz audytu wewnętrznego. Brak uwzględnienia elementów specyficznych dla AI może prowadzić do pozostawienia tej technologii bez odpowiedniego nadzoru i kontroli. W konsekwencji systemy sztucznej inteligencji mogą m.in.:
- stwarzać zagrożenie dla zasad prywatności, bezstronności i sprawiedliwości, podejmując decyzje, które nie są zgodne z obowiązującymi normami i etyką,
- generować ryzyka w zakresie bezpieczeństwa informacji i ochrony własności intelektualnej, zwłaszcza gdy wykorzystywane są zewnętrzne modele lub organizacja narażona jest na wyciek danych,
- skomplikować lub nawet uniemożliwić analizę działania AI, jego audytowalność i zapewnienie zgodności działania z obowiązującymi regulacjami.
Dlatego też, zarządy, rady nadzorcze i pozostali interesariusze (m.in. akcjonariusze i klienci) oczekują jednoznacznych odpowiedzi, które audyt wewnętrzny może dostarczyć, pod warunkiem wyposażenia go w odpowiednie uprawnienia, umiejętności oraz jasne metodyki zarządzania ryzkiem AI.
Rola audytu wewnętrznego w tworzeniu wartości poprzez odpowiedzialną sztuczną inteligencje
Poza działaniami ukierunkowanymi na ograniczanie ryzyka audyt wewnętrzny może odgrywać istotną rolę w budowaniu wartości oraz wspieraniu transformacji poprzez odpowiedzialne wykorzystanie AI, w szczególności poprzez formułowanie rekomendacji dotyczących ram ładu korporacyjnego dla AI w oparciu o uznane dobre praktyki rynkowe, tak aby wspierać rozwój innowacji bez narażania organizacji na nieuzasadnione ryzyko.
Ramy zarządzania AI można porównać do systemów bezpieczeństwa w samochodzie: podobnie jak możliwość bezpiecznego zatrzymania się pozwala kierowcy poruszać się po drodze pewnie, tak organizacja może adoptować technologie AI w szybkim tempie ze świadomością, że funkcjonują odpowiednie mechanizmy bezpieczeństwa, które pomagają nadzorować poszczególne przypadki użycia AI. Zespoły audytu wewnętrznego mogą stanowić realne wsparcie dla jednostek biznesowych organizacji w zapewnieniu, że rozwój technologii AI przebiega w zgodzie z zasadami ładu korporacyjnego. Działając na wczesnym etapie cyklu życia AI, mogą przyjrzeć się i ocenić istniejące ramy zarządzania i zidentyfikować ewentualne luki lub ryzyka. Ich rekomendacje mogą okazać się istotne dla kluczowych aspektów dotyczących wykorzystywania AI, takich jak przejrzystość działania AI, ochrona prywatności czy jakość wyników i ich rozliczalność. Dzięki temu audyt wewnętrzny nie tylko wzmacnia zaufanie do AI, ale także zapewnia, że od samego początku systemy te są budowane z uwzględnieniem zasad bezpieczeństwa i etyki, co jest kluczowe w miarę rosnącej skali zastosowania tej technologii.
Kluczowe działania, które warto priorytetyzować
Poniżej przedstawiono kluczowe obszary, które audyt wewnętrzny powinien przeanalizować, aby wspierać organizację w budowaniu zaufania do AI:
Zapewnij zespołom audytu odpowiednie kompetencje
Aby audyt wewnętrzny mógł skutecznie pełnić rolę niezależnego arbitra, zespoły audytowe muszą posiadać odpowiedni poziom wiedzy w zakresie technologii AI, związanych z nią ryzyk oraz kluczowych punktów kontrolnych w jej cyklu życia. Brak odpowiednich kompetencji znacząco ogranicza zdolność audytu do rzetelnej oceny systemów zarządzania AI i skuteczności mechanizmów kontrolnych. Organizacje powinny stale rozwijać kompetencje funkcji audytu wewnętrznego w dziedzinie AI, uwzględniając szybki rozwój tej technologii oraz zmieniający się profil ryzyk.
Uzyskaj wgląd w cały ekosystem AI
Zespoły audytowe powinny regularnie oceniać kompletność i aktualność rejestru systemów, modeli i narzędzi wykorzystujących AI, zarówno rozwijanych wewnętrznie, jak i pozyskiwanych od zewnętrznych dostawców. Taka inwentaryzacja stanowi podstawę do oceny ryzyk regulacyjnych, poziomu zależności od dostawców, a także identyfikacji inicjatyw o potencjalnie największym wpływie na organizację i jej procesy. Audyt powinien współpracować z zespołami IT, zarządzania danymi oraz zakupów, aby upewnić się, że zasoby związane z AI są odpowiednio identyfikowane, oznaczone i monitorowane. Wyniki przeglądu ekosystemu AI mogą wpłynąć na zakres uniwersum audytu i zainicjować konieczne działania dotyczące planu zadań audytowych czy też strategii działania audytu wewnętrznego.
Wykonaj audyt struktur zarządzania AI
Odpowiedzialność za AI bywa rozproszona pomiędzy różne funkcje organizacyjne. Audyt wewnętrzny może wnieść większą przejrzystość, oceniając, czy role w obszarze zarządzania AI, ścieżki eskalacji oraz uprawnienia decyzyjne są jasno zdefiniowane i funkcjonują zgodnie z założeniami. Przeprowadź przegląd modeli ładu organizacyjnego, aby potwierdzić, czy role i obowiązki w zakresie nadzoru nad AI są udokumentowane i realizowane przez odpowiednie funkcje, posiadające adekwatne w tym celu zasoby.
Oceń adekwatność ram ryzyka i kontroli związanych z AI
Sztuczna inteligencja generuje nowe typy ryzyk: od niestabilności wynikającej z danych niskiej jakości i stronniczości, po ograniczoną wyjaśnialność oraz ryzyko niewłaściwego użycia, które często nie są ujęte w standardowych macierzach kontroli. Zespoły audytowe powinny ocenić, czy organizacja skutecznie wdrożyła uznane ramy i standardy zarządzania AI, takie jak NIST AI RMF czy ISO 42001, aby odpowiednio identyfikować i adresować te ryzyka. Na przykład, NIST AI Risk Management Framework (AI RMF) oferuje elastyczne, dobrowolne wytyczne, podczas gdy ISO 42001 to certyfikowany standard z formalnymi wymaganiami (patrz także Odpowiedzialna Sztuczna Inteligencja i Standardy Branżowe). Przeglądy audytowe powinny skupić się na analizie projektu i ocenie efektywności operacyjnej mechanizmów kontroli w modelach o dużym wpływie. Ważne jest również, aby zweryfikować, czy kluczowe elementy, takie jak dane treningowe, metody walidacji i logika decyzyjna, są właściwie zarządzane i odpowiednio udokumentowane.
Włącz audyt wewnętrzny w projektowanie odpowiedzialnej AI
Przeprowadzanie oceny systemów AI dopiero na etapie powdrożeniowym jest niewystarczające z perspektywy skutecznego nadzoru i zarządzania ryzykiem. Audyt wewnętrzny powinien być zaangażowany w cały cykl życia projektowania i wdrażania AI, w szczególności w przypadku systemów wysokiego ryzyka lub tych, których sposób działania zakłada interakcję z człowiekiem. Zdefiniuj zasady cyklicznego audytu przypadków użycia AI, koncentrując się na przejrzystości ich działania, zgodności z deklarowanym przeznaczeniem oraz skuteczności mechanizmów awaryjnych.
Jak PwC może pomóc?
Wraz z coraz szerszym wykorzystaniem sztucznej inteligencji w działalności operacyjnej organizacji, funkcja audytu wewnętrznego powinna ewoluować, aby skutecznie wspierać zgodność regulacyjną oraz zapewniać adekwatność i efektywność mechanizmów kontrolnych.
PwC wspiera organizacje w modernizacji audytu wewnętrznego, pomagając identyfikować i adresować ryzyka związane z AI, wzmacniać ramy zarządzania oraz rozwijać rolę audytu jako partnera strategicznego w postępującej transformacji technologicznej.
Zacznij już dziś i przygotuj swoje zespoły do efektywnego działania w szybko zmieniającym się otoczeniu cyfrowym.
Artykuł na podstawie: https://www.pwc.com/us/en/tech-effect/ai-analytics/responsible-ai-internal-audit.html
Zapisz się na newsletter technologia
Skontaktuj się z nami
Ewa Wojtowicz-Presz
