حسابرسی هوش مصنوعی: راهنمای جامع برای حسابرسان داخلی

شکاف اعتماد: ریسک استراتژیک در عصر هوش مصنوعی

حسابرسی هوش مصنوعی دیگر یک انتخاب نیست، بلکه یک ضرورت استراتژیک است. امروزه یک “شکاف اعتماد” خطرناک بین فشار بازار برای پذیرش سریع هوش مصنوعی (AI) و آمادگی اخلاقی و کنترلی شرکت‌ها وجود دارد. در حالی که ۷۰٪ مدیران عامل معتقدند هوش مصنوعی مولد (GenAI) اساساً نحوه خلق ارزش را تغییر خواهد داد، تنها ۲۹٪ از رهبران کسب‌وکار اطمینان دارند که AI به صورت اخلاقی در سازمانشان پیاده‌سازی شده است. این شکاف، ریسک‌های مالی و اعتباری عظیمی را به همراه دارد.

تکامل نقش حسابرس: از نگهبان تا مشاور استراتژیک

ماموریت جدید حسابرسان داخلی، تحول از یک “دروازه‌بان” در انتهای فرآیند به یک “مشاور معتمد” در همان ابتدای راه است. این تغییر رویکرد نیازمند اقدامات زیر است:

• حسابرسی طراحی (Design Audit): مشارکت در فاز طراحی برای اطمینان از اینکه کنترل‌ها به صورت ذاتی در سیستم تعبیه شده‌اند، نه اینکه بعداً به آن اضافه شوند.
• نظارت مستمر (Continuous Monitoring): حسابرسی الگوریتم‌ها به صورت آنی و مستمر، به جای نمونه‌گیری‌های سالانه.
• مشاور معتمد (Trusted Advisor): ارائه بینش‌های ریسک به مدیریت، پیش از خرید یا توسعه ابزارهای هوش مصنوعی.

تمایز رویکردها: اتوماسیون در مقابل هوش مصنوعی مولد

حسابرسان باید بین رویکردهای مختلف تمایز قائل شوند:

1. اتوماسیون رباتیک فرآیندها (RPA): مبتنی بر قوانین (Rule-Based) و منطق “اگر A، آنگاه B” است. این سیستم‌ها پایدار و ردیابی آن‌ها آسان است.
2. یادگیری ماشین (Machine Learning): پیش‌بینی‌کننده (Predictive) است و از داده‌های تاریخی برای پیش‌بینی آینده (مانند امتیازدهی اعتباری) استفاده می‌کند.
3. هوش مصنوعی مولد (Generative AI): خلاق (Creative) است و محتوای جدید تولید می‌کند اما با ریسک “توهم” یا ارائه اطلاعات نادرست همراه است.

انطباق چارچوب COSO با واقعیت‌های هوش مصنوعی

چارچوب کنترل داخلی COSO همچنان معتبر است، اما پنج جزء آن نیازمند تطبیق با هوش مصنوعی هستند. ریسک‌های AI نباید در یک سیلوی جداگانه بررسی شوند، بلکه باید در چارچوب مدیریت ریسک سازمانی (ERM) موجود ادغام گردند.

• محیط کنترلی: تاکید مدیران ارشد بر اخلاق AI و تشکیل کمیته راهبری هوش مصنوعی.
• ارزیابی ریسک: تهیه فهرست کامل از مدل‌های AI و ارزیابی تأثیر پدیده “جعبه سیاه” (Black Box).
• فعالیت‌های کنترلی: اعتبارسنجی خودکار داده‌ها و وجود عامل انسانی در حلقه تصمیم‌گیری (Human-in-the-loop).
• اطلاعات و ارتباطات: شفافیت و توضیح‌پذیری (Explainability) عملکرد مدل‌ها برای کاربران.
• نظارت: حسابرسی مستمر برای شناسایی انحراف مدل (Model Drift).

استانداردهای جهانی: قانون هوش مصنوعی اتحادیه اروپا و چارچوب NIST

استانداردهای جهانی مانند قانون هوش مصنوعی اتحادیه اروپا (EU AI Act) و چارچوب مدیریت ریسک هوش مصنوعی NIST، بر یک رویکرد مبتنی بر ریسک در کل چرخه عمر AI تأکید دارند. این قوانین ایجاب می‌کنند که منابع حسابرسی بر روی مدل‌های “پرخطر” که بر حقوق اساسی افراد تأثیر می‌گذارند، متمرکز شوند.

نقشه ریسک هوش مصنوعی: ۶ حوزه حیاتی برای حسابرسی

این شش حوزه کلیدی باید در جهان حسابرسی (Audit Universe) شما گنجانده شوند:

1. حاکمیت (Governance): ریسک استفاده از AI بدون مجوز (Shadow AI) و عدم وجود استراتژی و پاسخگویی مشخص.
2. عملیاتی (Operational): شکست مدل، غیرقابل توضیح بودن نتایج (Black Box) و وابستگی بیش از حد به سیستم.
3. داده (Data): کیفیت پایین داده‌ها، سوگیری در نمونه‌ها و نقض حریم خصوصی در داده‌های آموزشی.
4. امنیت سایبری (Cyber): حملات تزریق پرامپت (Prompt Injection)، مسموم کردن داده‌ها (Data Poisoning) و سرقت مدل.
5. انطباق (Compliance): نقض مقرراتی مانند GDPR، مسائل مربوط به حق نشر و قوانین بخشی خاص.
6. اعتبار (Reputation): از دست دادن اعتماد عمومی به دلیل خروجی‌های تبعیض‌آمیز یا توهین‌آمیز.

اخلاق و استراتژی اجرا در حسابرسی هوش مصنوعی

مشکلات هوش مصنوعی عمدتاً از کیفیت پایین داده‌ها نشأت می‌گیرد. پدیده “زباله ورودی، زباله خروجی” با “توهم” در مدل‌های مولد تشدید می‌شود. برای اطمینان از همسویی AI با ارزش‌های انسانی، سه رکن اخلاقی باید مدنظر قرار گیرد:

• عدالت و رفع سوگیری: آیا داده‌های آموزشی منعکس‌کننده بی‌عدالتی‌های تاریخی هستند؟
• شفافیت: آیا تصمیمات مدل قابل توضیح هستند؟ باید از مدل‌های کاملاً “جعبه سیاه” در تصمیم‌گیری‌های حیاتی اجتناب کرد.
• پاسخگویی: چه کسی کنترل نهایی را در دست دارد؟ حضور انسان برای تصمیم‌گیری نهایی الزامی است.

“هوش مصنوعی جایگزین حسابرسان داخلی نخواهد شد. اما حسابرسان داخلی که از هوش مصنوعی استفاده نمی‌کنند، توسط کسانی که استفاده می‌کنند، جایگزین خواهند شد.”

توصیه‌های کلیدی برای اقدام

• ارتقای مهارت (Upskilling): آموزش سواد داده و هوش مصنوعی برای کل تیم حسابرسی.
• پروژه آزمایشی (Pilot Project): شروع با حسابرسی یک مدل کم‌ریسک یا با ریسک متوسط.
• مشارکت (Partnership): همکاری نزدیک با تیم‌های علم داده و فناوری اطلاعات به جای تقابل.

برای مطالعه بیشتر می‌توانید به منابع موسسه حسابرسان داخلی (IIA) مراجعه کنید.

منبع: بر اساس ارائه I Made Suandi Putra، رئیس کمیته رهبران جوان IIA اندونزی