ISACA Journal丨人工智能如何促进审计？

审计常常被视为一种手动的、由主题驱动、烦琐的、有时甚至是高度主观的实践。随着围绕 IT 专业人员的数字化颠覆，是时候探索下一代人工智能 (AI)、自然语言处理 (NLP) 和机器学习 (ML) 技术如何帮助审计职业了。这些技术有几个方面可能在审计生命周期及以后派上用场，了解类似技术如何应用于其他 IT 和业务场景会很有帮助。理解人工智能带来的机遇可以成为了解人工智能 (AI)、自然语言处理 (NLP) 和机器学习 (ML) 的好处及其众多用途的垫脚石。

数字时代的审计

审计的实践已有一个多世纪的历史。一开始作为会计师的工作，现在已经在各行各业开展，重点是满足监管要求或进行基于风险的审计。尽管审计的类型和方法或模式随着时间的推移不断发展，但审计界仍面临着重大问题，包括不当的审计计划、对不断变化和演变的风险的忽视、审计师偏见、与被审计方的不一致以及偏颇的数据样本等。

审计师在数字时代的角色需要演变和适应，即审计是一种从大型数据集中识别模式和趋势的机制。这些见解为风险评估、项目范围确定以及主动和提早识别潜在问题等提供了支持。例如，在当今快速发展的技术领域中，现有的AI和ML技术不仅可以检测欺诈交易和识别高风险问题，如来自用户端点的未知系统活动，而且还可以从此类干预中构建学习模型。

AI干预

人工智能是若干技术领域的统一，这些技术使计算机程序能够模仿人类的智能和决策技能。主要包括ML、NLP和机器人技术。图 1 展示了 AI 世界的景象。图 1 中的许多主题可能是审计领域内几个已知问题和关注领域的潜在问题解决者。例如：

可以改进过程文件的分析和增加审计数据样本量。

由于审计涉及大量非结构化和结构化数据，基于 NLP 的算法可用于检测按主题或重点领域分类的问题。

考虑到审计和评审所花费的时间，审计时间有可能减少 50% 以上。

在审计中使用AI有很多这样的场景和机制。

数字时代的挑战和问题：我们看到的是真实的数据吗？

任何人工智能程序要想成功地解决审计问题，都需要针对数据和数据集的问题。在这方面，以下所有问题的答案都必须是肯定的：

数据的来源是否已知？

数据是否易于获取？

数据是否完整可靠(即数据完整性得到保证)？

唯一真实版本 (SVOT) 是否达成一致？

过去，审计团队的重点一直是在审查和验证审计治理方面利用治理、风险和合规 (GRC) 技术。例如，审计团队使用流行的 GRC 工具（如 RSA Archer、MetricStream 或 ServiceNow）来执行他们以前可能手动完成的半自动化任务。目前，有几个 AI 组件可用于解决数据和抽样问题以及其他内部审计问题。 许多 GRC 平台只能将数据处理成报告，可能无法获得明智的见解，也无法独立帮助解决数据/抽样问题。

审计AI子集的另一面：还有哪些其他关键问题？

任何审计计划都可以使用以下参数来衡量其有效性/成功率：

环境——影响内部审计工作的因素

输出——审计工作的最终结果

质量——最终结果的质量

效率——衡量产出和结果质量与成本对比的标准

影响——审计工作对组织有效性的影响

每个类别都应该有几个性能指标。 其中一些绩效衡量标准是主观的，例如衡量输出的能力（例如，审计输出的次数与总体审计后、流程合规性成正比）。 另一项衡量标准是效率（例如，每次审计可在 8 小时内完成的审计百分比）。 然而，挑战在于在不影响审计活动的情况下，基于审计过程中耗时和人力密集型任务的自动化来提高审计的输出、质量和效率。 审计过程中的关键AI推动因素是：

预测分析——一种在审计特定领域时使用数据或证据样本大小预测趋势的机制，例如，根据季度数据预测用户离职的违规情况。

机器人流程自动化 (RPA) ——审计步骤的半自动化或部分自动化，例如作为大型审计和风险评估的一部分将数据从数据集中提取到 Word/Excel 中 。

NLP ——通过针对手动和重复检查的语音命令自动执行重复性任务。

自然语言生成和接收——创建一个基于 NLP 的机器人，如果审计类型不同，它可以接收和学习新的命令，例如对账或基于清单的检查 。

投资回报：短期、中期和长期 AI 推动因素

图 2 总结了审计工作流每个步骤的自动化/AI范围。

“RPA、ML 和 AI 用于审计的最大机会是提供有关海量数据的洞察力和情报。”

很明显，RPA、NLP 和预测分析是一些可以支持审计人员审计方法的技术。

AI/ML 和 RPA 用于审计带来有效优化的机会

审计师必须处理针对合规和其他领域而呈现的海量信息和数据。 从审计样本中始终如一地得出结论似乎是不可能的。RPA、ML 和 AI 用于审计的最大机会是提供有关数据海的洞察力和情报。这些机会包括：

减少数据处理周期时间

减少审计期间的监督错误

用 RPA 代替耗时、费力的活动（例如验证证据）

能够做出预测并得出明智的见解（根据现有证据）

风险是什么？

尽管利用 AI、ML 和 RPA 可以使组织受益，但理解和考虑所涉及的风险也很重要：

使用人为构建的AI工具引入了人的判断和成见的伦理和偏见。

对AI结果的不充分测试会产生可疑的结果或审计结果。

人为逻辑错误可能会阻碍用于审计的AI算法的开发。

特定用例

AI和ML技术的应用可以外推到审计生命周期中。 要考虑的技术及其用途如图 3 所示。

IT/业务领域的典型应用

AI和ML在反洗钱等其他领域也有一些应用。 检测欺诈交易、执行数据质量检查、负面新闻筛选和处理都已通过 AI/ML 技术成功实现自动化。 为大型跨国公司银行实施 AI 或 ML 可以节省大量人工开销和对账工作。

例如，一家大型跨国 IT 服务公司帮助一家零售巨头通过 NLP 和使用 Alexa 命令自动填写产品订单和产品申请表。它减少了重复性任务中的人工错误、疏忽和人为干预。

一些律师事务所现在可以使用最先进的AI和ML平台，根据监管和法律需求/管辖权要求，从大量文档和记录中搜索、检索和获取有意义的见解。

结论

在 AI、ML 和 NLP 技术的帮助下，有很多方法可以随着时间的推移改进审计。然而，挑战在于主题专家是否将这些技术视为黑匣子或难以解释或理解的主题。可能很少有精通IT领域的专业人士或专家能够成功地实施AI和ML。IT 专业人员应该采用这些技术来更好地优化审计领域及其他领域。如果IT和审计专业人员能够充分利用RPA/AI/ML，将产生更有洞察力、更高效、可衡量的工作产品。

编者注：本文出自ISACA Journal 2021年第4期。尾注略。根据译者对原文的理解略作增删后翻译。文章内容仅代表作者本人观点。

作者：Shini Menon，CISA，CDPSE，CSM，GRCP，GRCA，SA，是Infosys Business Consulting 的治理、风险和合规 (GRC) 负责人。

翻译：唐四宝（Jerry Tang），CISA， CDPSE， RHCE， CCNP，ISACA微信公众号特邀通讯员。

校对：王岩 （Liam Wong），CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员。

来源：ISACA