Вопросы автоматизации и использования искусственного интеллекта во внутреннем аудите

Автор: Игорь Кожуров, первый заместитель директора департамента внутреннего аудита ПАО «Аэрофлот», член Ассоциации «Институт внутренних аудиторов»1

Автоматизация внутреннего аудита

Вопрос автоматизации внутреннего аудита можно разделить на две части: (1) автоматизация деятельности и (2) автоматизация аудиторских процедур.

1. Под автоматизацией деятельности подразумевается внедрение систем класса GRC в части непосредственного обеспечения работы подразделений внутреннего аудита. Здесь речь идет о следующих аспектах:

  • автоматизации документооборота – планов и программ аудита, оформление аудиторских доказательств и рабочих бумаг, формирование фрагментов отчета, документирование сопутствующих работ, формирование типового отчета по итогам аудита, контроль исполнения рекомендаций;

  • ведение вселенной аудита, формирование матрицы рисков и контролей;

  • расчет и планирование временных затрат, контроль использования и оценка производительности аудиторских ресурсов;

  • актуализация модели аудита, формирование карты гарантий, программа оценки и повышения качества (оценки, план развития, карта компетенций);

  • формирование предварительных итогов для внутренней оценки;

  • отдельным пунктом идет интеграция с подсистемами контроля процессов и управления рисками, если они есть.

Удачная реализация перечисленных аспектов даст возможность существенно повысить эффективность деятельности подразделения внутреннего аудита за счет оптимизации использования ресурсов.

Однако, следует отметить, что предложение систем класса GRC на рынке никогда не было чрезмерным, а сейчас, с уходом иностранных производителей, стало достаточно скудным. Это при том, что систем, с достаточной эффективностью покрывающих все указанные процессы, не было в принципе.

Учитывая непростые условия в современной экономике, аудиторские подразделения могут столкнуться с проблемами, связанными как с импортозамещением иностранного ПО, так и с ограничениями бюджетов при развитии решений отечественных разработчиков.

Как следствие, мы предполагаем, что в краткосрочной перспективе развитие этого направления во внутреннем аудите будет ограничено.

2. В части развития автоматизации аудиторских процедур открыто широкое поле деятельности по использованию различных инструментов. Это такие направления как непрерывный аудит, процесс-майнинг, визуализация данных, Agile, Python, SQL и многие другие.

Об этом достаточно полно и неоднократно рассказывалось на мероприятиях Института внутренних аудиторов, имеется много материалов на сайте ИВА.

Здесь есть масса возможностей, но и существуют определенные подводные камни. Например, автоматизированная аудиторская процедура нередко превращается в автоматический контроль, и является логичным передать ее в управление менеджменту, который должен быть к этому готов, что на практике не всегда происходит.

Также, как минимум, в ближайшей перспективе при реализации своих проектов внутренний аудит может столкнуться с бюджетными ограничениями из-за экономических проблем.

Общий вывод по данному разделу в части автоматизации внутреннего аудита: по-прежнему есть хорошие перспективы для развития, но реализация этих перспектив может находиться под достаточно серьезным давлением.

Использование искусственного интеллекта

Сразу оговорю, что в сфере использования ИИ нам будут сопутствовать те же негативные факторы, о которых говорилось в первой части статьи, и мы не станем на них останавливаться повторно.

Вспоминая историю, необходимо отметить, что развитие темы ИИ берет свое начало в 60-х годах прошлого века, то есть человечество уже посвятило этому вопросу около 60 лет. За это время было несколько периодов всплеска ожиданий от решения проблемы ИИ и взрывного эффекта от его использования. Затем ажиотаж проходил, и все успокаивалось, а достигнутые результаты апробировались и внедрялись на практике.

Возможно, сейчас мы наблюдаем типичный «пузырь хайпа» вокруг ИИ, поскольку тема, на наш взгляд, несколько перегрета.

Сегодня ИИ — это набор методов оптимизации и машинного обучения, которые позволяют компьютеру имитировать некоторые когнитивные функции человека. Условно, ИИ можно разделить на 2 категории: «сильный» и «слабый».

«Сильный» ИИ — это искусственный интеллект, равный человеческому разуму или превосходящий его. Такого ИИ не существует, но поклонники ИИ верят, что он появится и тогда мир вокруг нас станет совершенно другим.

«Слабый» ИИ предназначен для узкого применения. Он уже разработан, используется в быту. Даже в нашем смартфоне уже работает множество таких программ. Это и распознавание речи, и распознавание отпечатка пальца, и проверка правописания, и подбор слов Т9, и распознавание лица, и распознавание элементов пейзажа в фотокамере и тому подобное. Например, автомобильный навигатор — это тоже «слабый» искусственный интеллект.

Хотелось бы обратить внимание на тревожную тенденцию чрезмерного доверия к решениям ИИ, падения квалификации и компетенций тех, кто использует «костыли» ИИ, а также на проблему окончательности решений ИИ, которому люди делегировали право принимать решения. Бывает невозможно понять, почему принято то или иное решение, и как его оспорить.

КЕЙС: человек долго заполнял анкету для получения кредита в крупном банке. Наконец нажал кнопку «Отправить» и через минуту получил отказ. Конечно, отказал ему не человек, который за это время не успел бы даже прочесть анкету, а система ИИ. И в этом случае некуда обратиться, чтобы узнать причину, оспорить: решение финальное, без объяснений. И мало того, клиенту не только отказали, но и зафиксировали этот отказ в его кредитной истории. Возможно, человек просто забыл поставить галочку где-то в анкете или сам алгоритм был негодный – как выяснить? Хотя решает вроде бы ИИ, алгоритмы, политику, этику, принципы в него закладывают люди, которые могут ошибаться или намеренно сделать что-то не так. Однако на основе этих ошибок ИИ будет управлять людьми, и его решения конечные. Человек в результате становится бесправным рабом таких систем.

Возможно, следует запретить системам искусственного интеллекта самостоятельно принимать решения относительно людей в последней инстанции, а также потребовать обеспечивать прозрачность работы алгоритмов ИИ.

КЕЙС: Например, вы обучаете ИИ для найма персонала. Даете ему данные о том, каких людей вы нанимали раньше, каким был их карьерный путь, откуда они пришли, какие результаты они давали на работе, сколько в среднем работали в компании до увольнения. И вот нейронная сеть усваивает сложившуюся практику и запоминает, что, допустим, женщин, больных, пожилых нанимать невыгодно, — вот и все, дискриминация.

Конечно, мы можем задать ИИ соответствующие критерии, прописать какие-то правила, ввести квоты для дискриминируемых категорий. Но потом начнется обратная волна претензий, другой человек спросит: «А почему вы дали квоту этой категории, хотя я лучше подхожу по уровню квалификации? Разве наем — это не про квалификацию?».

КЕЙС: Или такой пример: есть ли у вас уверенность что автомобильный навигатор дает оптимальный именно для вас маршрут, а не рассматривает его как точку в общем потоке и предлагает траекторию, оптимальную для снижения пробок?

В контексте рассмотренных проблем встает вопрос доверия со стороны объектов проверки к результатам аудита с использованием ИИ. Если ИИ делает вывод в отношении элемента СВК, то как обеспечить уверенность, что он совпал бы с нашим выводом, сделанным по традиционной методике? Все перепроверить? Тогда теряется смысл использования ИИ. Делегировать ИИ право принятия решения? Тогда как добиться доверия от объекта аудита и доказать свою правоту? Использовать какие-то комбинированные решения?

Эти вопросы пока никак не регулируются, и мы будем проходить этот путь путем проб и ошибок. И здесь хотелось бы обратить внимание на приверженность этическим принципам внутреннего аудита, что, на наш взгляд, может повысить шансы принять решение в спорных ситуациях.

Теперь переходим к вопросу: как нам проводить аудит систем ИИ? Представим футуристическую картину, когда ИИ СВА проводит аудит, например, ИИ производственной системы. Находит недостатки СВК, информирует о них проверяемый ИИ, они совместно разрабатывают перечень корректирующих действий, и проверяемый ИИ их тут же внедряет и выдает отчет об устранении недостатков. Аудиторам и производственникам остается только наблюдать за процессом. Это, конечно, из области фантастики, но выглядит интересно.

На практике все более рутинно: мы должны убедиться, что проверяемая система ИИ соответствует нормам, заложенным при проектировании, а для этого в ключевых точках ИИ должен формировать и выдавать промежуточную информацию, на которую можно опереться при аудите. И таких точек должно быть достаточно для адекватной оценки. И, безусловно, к аудиту ИИ должны привлекаться специалисты в области обработки и анализа данных, имеющие соответствующую квалификацию.

По мере того, как искусственный интеллект переходит к принятию решений в реальном мире, он становится испытанием не только для специалистов в области ИТ, но и для аудиторов. Желаю нам всем удачно пройти все испытания и обогатиться новыми компетенциями!

* * *

Также смотрите видео, где Дмитрий Бочаров, главный внутренний аудитор Askona Life Group, рассказывает о генеративном искусственном интеллекте (GenAI) и областях, где ИИ может быть полезен для бизнеса и внутреннего аудита (фрагмент выступления на осенней конференции Института внутренних аудиторов «Внутренний аудит в России», 2-3 ноября 2023 г., Сочи): https://youtu.be/CGgxCb4d_KI


1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

Комментарии закрыты