کنترل داخلی در عصر فناوری‌های نوین: تحول و چالش‌ها

مقدمه: دگرگونی کنترل داخلی در عصر فناوری‌های نوین

کنترل داخلی در عصر فناوریهای نوین دیگر یک مفهوم ایستا نیست. تحول پُرشتاب فناوری‌هایی مانند «هوش مصنوعی»، «یادگیری ماشینی»، «تحلیل کلان‌داده‌ها» و «اتوماسیون هوشمند فرایندها»، ماهیت سیستم‌های اطلاعاتی سازمان‌ها و به تبع آن، مفهوم و کارکرد کنترل‌های داخلی را دچار تغییرات بنیادین کرده است. این مقاله، برگرفته از مطالب منتشر شده توسط انجمن حسابرسان داخلی (The IIA)، به بررسی این تحولات و الزامات جدید برای حسابرسان می‌پردازد.

گذار از کنترل ایستا به سیستم‌های پویا و یادگیرنده

طبق بیانیه‌ها و رهنمودهای انجمن حسابرسان داخلی (IIA)، سیستم کنترل داخلی دیگر مجموعه‌ای از کنترل‌های ایستا و مبتنی بر فرایندهای قابل مشاهده نیست، بلکه به سیستم‌هایی «پویا»، «یادگیرنده» و «الگوریتم‌محور» تبدیل شده است. بر اساس آخرین نتایج پروژه بین‌المللی Vision 2035 که در سال ۲۰۲۴ توسط IIA منتشر شده، بیش از ۹۵ درصد خبرگان حرفه حسابرسی معتقدند که فناوری‌های نوین نه تنها ماهیت ریسک‌ها، بلکه ماهیت «اطمینان‌بخشی» و «کنترل داخلی» را برای همیشه تغییر داده‌اند.

پیامدهای ورود الگوریتم به معادله کنترل داخلی

در محیط‌های سنتی، کنترل داخلی بر پایه سه مؤلفه اصلی «انسان»، «فرایند» و «سیستم‌های اطلاعاتی قابل پیش‌بینی» استوار بود. اما اکنون، یک عامل جدید و با قدرت تصمیم‌سازی وارد معادله شده است: «الگوریتمِ یادگیرنده». این تغییر، پیامدهای اساسی زیر را به همراه دارد:

• تغییر ماهیت کنترل از «نظارت انسان‌محور» به «نظارت الگوریتم‌محور»
• ظهور ریسک‌های جدید در سیستم کنترل داخلی
• بازتعریف نقش انسان در فضای کنترل داخلی
• تغییر پارادایم حسابرسی داخلی از نمونه‌گیری به پایش مستمر هوشمند
• ایجاد بُعد راهبری هوش مصنوعی به سازوکارهای کنترلی
• شکاف مهارتی و الزام‌های جدید برای حسابرسان داخلی

۱. نظارت الگوریتم‌محور: یک پارادایم جدید

در محیط‌های مبتنی بر هوش مصنوعی، بسیاری از تصمیم‌های سازمان (مانند اعتبارسنجی، قیمت‌گذاری پویا یا مدیریت ریسک) با همراهی مدل‌های یادگیرنده اتخاذ می‌شوند. در نتیجه، کنترل داخلی دیگر تنها کنترل اجرای دستورالعمل‌ها نیست؛ بلکه شامل کنترل بر «داده‌های آموزش‌دهنده»، «منطق الگوریتم» و «خروجی و چرخه‌ی عمر مدل» نیز می‌شود. مفاهیمی مانند Algorithmic Controls و Data-Driven Controls به عنوان لایه‌های جدید کنترل داخلی مطرح شده‌اند.

۲. ظهور ریسک‌های جدید در سیستم کنترل داخلی در عصر فناوریهای نوین

ورود هوش مصنوعی، طبقه‌ای جدید از ریسک‌ها را به مفاهیم کنترل داخلی اضافه کرده است که سازمان‌ها باید برای مدیریت و حسابرسی آن‌ها آماده باشند:

• ریسک سوگیری الگوریتمی (Algorithmic Bias): تصمیمات ناعادلانه بر اساس داده‌های ورودی مغرضانه.
• ریسک تصمیم‌گیری غیرقابل‌توضیح (Black-Box Risk): ناتوانی در درک منطق پشت تصمیمات الگوریتم.
• ریسک آلودگی داده‌های آموزشی (Training Data Contamination): استفاده از داده‌های نادرست برای آموزش مدل.
• ریسک انحراف تدریجی مدل (Model Drift): کاهش دقت مدل به مرور زمان.
• ریسک دستکاری مدل و حملات خصمانه (Adversarial Attacks): تلاش‌های عمدی برای فریب دادن مدل.

گزارش‌های IIA نشان می‌دهد بسیاری از سازمان‌ها هنوز آمادگی کافی برای حسابرسی این ریسک‌ها را ندارند.

۳. بازتعریف نقش انسان و تغییر پارادایم حسابرسی

در محیط‌های هوشمند، انسان از «اجراکننده‌ی کنترل» به «ناظر بر رفتار سیستم‌های هوشمند» تبدیل می‌شود. تمرکز کنترل از سطح تراکنش به کیفیت داده، صحت آموزش مدل و پایداری عملکرد الگوریتم منتقل شده است. به همین دلیل، حسابرسی سنتی مبتنی بر نمونه‌گیری، جای خود را به رویکردهایی مانند «حسابرسی مستمر» و «پایش مستمر کنترل‌ها» می‌دهد. حسابرسی داخلی از یک فعالیت «گذشته‌نگر» به سازوکاری «آینده‌نگر» و «هشداردهنده» تبدیل می‌شود.

۴. الزام‌های جدید: راهبری هوش مصنوعی و مهارت‌های نوین

سازمان‌ها ناچار به ایجاد لایه‌ای با عنوان «راهبری هوش مصنوعی» در ساختار حاکمیت شرکتی خود هستند که شامل شفافیت، مسئولیت‌پذیری و اخلاق در استفاده از AI است. در این چارچوب، کنترل داخلی «حافظ منطق تصمیم‌سازی» سازمان خواهد بود. از سوی دیگر، بزرگترین ریسک آینده، ناآمادگی مهارتی حسابرسان داخلی است. مهارت‌های ضروری جدید عبارتند از:

• سواد داده (Data Literacy)
• توانایی تحلیل داده و مدل
• درک معماری سیستم‌های هوش مصنوعی
• اخلاق و ریسک‌های رفتاری الگوریتم‌ها

بدون این مهارت‌ها، حسابرسان داخلی توان ارزیابی کنترل‌های نسل جدید را نخواهند داشت.

منبع: گردآوری دکتر شاهرخ شهرابی بر اساس مطالب منتشر شده توسط انجمن حسابرسان داخلی (The IIA)