Vaatamata sellele, et AI standardid ja -juhised on alles väljatöötamise faasis, saavad siseaudiitorid samal ajal välja töötada oma raamistiku tehisintellektiga seotud töövõttude läbiviimiseks.
Tehisintellekti (AI) arendamine on saanud riiklikult oluliseks strateegiaks Kanadas, Hiinas, Prantsusmaal, Venemaal, Ühendkuningriigis ja USA-s. Ülemaailmse tehisintellekti tarkvara turu väärtus oli 2019. aastal oli ligikaudu 10 miljardilt dollarilt ning tehnoloogiauuringute ettevõtte Omdia|Tractica andmetel kasvab see 125 miljardi dollarini 2025. aastaks.
Kuna tehisintellekti olulisus ja kasutusala kasvab tohutu kiirusega, peab ka siseaudit arenema koos tehnoloogiaga, et olla ajakohane ja jätkusuutlik oma professionaalses arengus.
Üks praeguseid suurimaid väljakutseid seoses AI arengutega on asjaolu, et standardite väljatöötamine on alles varajases staadiumis, mistõttu on ka siseaudiitoritel veel vähe juhiseid tehisintellektiga seotud teemade auditeerimiseks.
Tehisintellekti raamistike ja standardite väljatöötamisega on juba alustanud Ameerika Riiklik Standardiinstituut, USA Riiklik Standardi- ja Tehnoloogiainstituut ning Ühendkuningriigi teabevoliniku büroo.
Arusaadavalt võtavad need protsessid aega, kuna erinevad standardite kehtestajad keskenduvad igaüks teatud kindlatele valdkondadele, nagu andmete privaatsus, eetiline kasutamine ja tehisintellekti süsteemide tehniline disain.
Kuna ka siseaudiitorite ülemaailmne kogukond ja üksused üle maailma peavad AI-süsteemide auditeerimiseks välja töötama oma raamistikud, siis peame kõik olema jooksvalt kursis AI standardite väljatöötamise algatuste ja arengutega.
Uute riskide jälgimine
AI on muutunud moesõnaks, mida kasutatakse isegi lihtsa automatiseerimise kirjeldamiseks, seetõttu on oluline mõista nende kahe tehnoloogia põhimõttelisi erinevusi. Automatiseerimise iga uus tase mängib olulist rolli, kuid sellel on erinevad kasutusalad.
Madalaim automatiseerituse tase - robot-protsesside automatiseerimine, järgib rangeid reegleid ja kui see on õigesti programmeeritud, saab selle abil teostada korduvaid protsesse, nagu raamatupidamise töövoogude automatiseerimine, andmete kogumine ja teabe automaatne edastamine.
AI tuli mängu siis, kui organisatsioonid hakkasid ühendama üht või mitut intelligentse automatiseerimise taset, et saavutada suurem jõudlus ja töötõhusus. Tehisintellektist võib saada seni kõige murrangulisem tehnoloogiline areng, mis loob uusi võimalusi, aga ka riske igas äri- ja eluvaldkonnas.
USA sisejulgeolekuministeeriumi valges raamatus "AI: Standardid riskide leevendamiseks" käsitletakse tehisintellekti süsteemide kasutamisega kaasnevaid peamisi riske riiklikule julgeolekule ja intellektuaalomandile.
Lisaks Pennsylvania CPA Journali andmetel eelistavad mõned spetsialistid kasutada auditites ametlikult tunnustatud meetmeid riskide ja eetiliste standardite, sealhulgas algoritmilise lahenduse, andmehalduse ja privaatsusküsimustega tegelemiseks.
Tehisintellekt nõuab uusi järelevalve mudeleid, nagu inimese ja masina koostöö otsustusprotsessides, mis tavapäraselt on mõeldud juhtimiseks. Need mudelid vajavad auditi ja juhtkonna vahelise koostöö ja kaasamise selgeid reegleid. Samas on siseauditi üksusel seoses tehisintellektiga võimalus anda kindlustunnet ja nõustada ärijuhte tehisintellekti süsteemide turvalise juurutamise ja kasutamise osas.
Kaalutlused kaasamisel
Tehisintellekti auditiraamistik ei tohiks olla üksüheselt kattuv teiste valdkondade auditiraamistikega, samuti ei tohiks ükski standard jääda staatiliseks, arvestades AI-tehnoloogia kiiret muutumist. Siiski on ühiseid elemente, mida siseaudit peaks arvestama valmistudes tehisintellektiga seotud töövõtuks. AI-auditiraamistiku väljatöötamisse saab kaasata olulisi fookusvaldkondi, sealhulgas:
1. AI eetika ja juhtimismudelid
2. Ametlikud standardid ja protseduurid AI kohustuste rakendamiseks
3. Andmete ja mudelite haldamine, juhtimine ja privaatsus
4. Inimese ja masina integratsioon, suhtlus, otsuste tugi ja tulemus
5. Kolmanda osapoole AI tarnija haldus
6. Küberturvalisuse haavatavus, riskijuhtimine ja talitluspidevus
Kuni professionaalsete AI-auditistandardite ja -protseduuride väljatöötamiseni tuleks auditi planeerimise riskihindamise etapis arvesse võtta kõiki neid tehisintellekti „ökosüsteemi” elemente. Riskipõhise auditiplaani koostamisel võib siseauditil olla vajalik uuesti läbi vaadata tehisintellekti rakendamisest tulenevad riskid kogu organisatsioonis.
AI kujutab endast uudset riski, mis tähendab, et siseaudiitoritel ei pruugi olla ajaloolisi tähelepanekuid ega riskiandmeid, mille põhjal teha järeldusi riski ulatuse kohta. Audiitorid peaksid tehisintellekti rakendamise kontekstis kaaluma iga kuue elemendi riskianalüüsi.
AI-d on juba rakendatud erinevates tööstusharudes, millest igaühel on oma riskid.
Inimese ja masina koostöö integreerimine, kus tuginetakse tehisintellekti otsustele või neid kasutatakse koos inimesega, kujutavad endast dünaamilisi riske, mis nõuavad kriitilist mõtlemist ja fokusseeritust.
Lennuk Boeing 737 MAX, mis põhjustas katastroofid nagu Lion Airi lennuõnnetus Indoneesias 2018. aastal ja Etioopia lennuõnnetus 2019. aastal, on kaks näidet, kus liigne tuginemine tehisintellektile ja riskide alahindamine põhjustasid katastroofiga lõppenud sündmused.
Paraku juhtuvad katastroofid ka sellistes tööstusharudes, kus on juba rohkem kogemusi AI-tehnoloogiaga, nagu lennundus, kus tehisintellekt on pilootide jõudluse toetamiseks juba kasutusel.
Siseaudit peaks tegema koostööd tippjuhtide ja juhatustega, et kehtestada tehisintellekti kasutamise eetilised standardid ja juhtimismudelid. Tehnoloogia nõuab selgust andmete privaatsuse, andmehalduse, hankijahalduse, inimressursside, vastavuse, küberturvalisuse ning riskijuhtimise funktsioonide ja poliitikate osas.
Organisatsioonid võivad vajada ristfunktsionaalseid töögruppe ja juhte, et luua uued tegevusmudelid, mille alusel saab iga olulise valdkonna jaoks luua sobivad AI-lähenemised. Seega organisatsioonid vajavad uusi protsessi, et analüüsida tehisintellekti võimalusi ja teha sobivaid valikuid enda jaoks.
Näiteks kui haigla kasutab patsientide diagnoosimiseks tehisintellekti, peavad arstid ja õed neid analüüse tõlgendama ja määrama patsiendile kõige sobivamad. Tehisintellekti maailmas ei piisa subjektiivsest riskihinnangust, kus riskid võivad mainet kahjustada eksponentsiaalselt ja muu hulgas ohustada organisatsiooni ellujäämist.
Alustamine
AI ökosüsteemi raamistik on mitteametlik kontrollnimekiri auditi rolli ja struktuuri kaardistamiseks, et toetada tehisintellektiga seotud projekte või kavandada intelligentsete süsteemide kaasamist. Kaks AI projekti pole kunagi täpselt ühesugused ja kõik organisatsioonid õpivad töö käigus. Seega siseaudiitorid ei peaks praegu väga muretsema vähese AI kogemuse pärast.
AI ei ole küll traditsiooniline tegevus, kuid olulised põhitõed on IT-standardites juba olemas. Mitmed riigid on alustanud täiendavate juhiste väljatöötamisega, et täiendada olemasolevaid standardeid ning järjepidevuse tagamiseks luuakse ka uusi standardeid.
Vaatamata sellele, et ametlike AI-juhiste ja standardite väljatöötamine võtab aega, on siseauditi jaoks praegu põnev aeg, kus saame võtta juhtrolli, et pakkuda oma ettevõtetele infot ja tuge tehisintellektiga seotud teemades.