這篇"Oversight in the AI era: understanding the audit committee’s role"是2025年7月12日在Harvard Law School Forum on Corporate Governance網站刊出的文章,由Stephen Parker, Barbara Berlin與Tracey Lee Brown合寫。以下針對審計委員會職權與AI發展交織的部分進行分享。本篇為外部審計、風險管理等內容。
外部審計
審計委員會想要知道,AI如何影響到外部審計團隊的人才策略、審計方法,以及AI模型和工具如何用來測試和驗證。審計委員會可與外部審計伙伴討論—關於AI的規定如何影響到外部審計。
外部審計計畫應該予以調整,以便處理公司在財報(以及其依憑的流程和控制)上的AI相關風險。審計委員會應該要瞭解這些變動。審計委員會要注意在管理階層陳述信中所增加、特別是與AI有關的部分,瞭解管理階層之陳述及他們用來支持此回應的流程。
外部會計師應讓其審計中所使用的AI符合監理機關要求。審計委員會要持續瞭解:所有監理機關提出的指引,以及關於在審計中使用AI方面的標準更動。
遵循、道德及舞弊偵測
審計委員會典型上會負責監督組織是否遵守相關法規、內部政策或類似事宜。他們通常會審視遵循與道德計畫,以評估其效能及協助辨識出潛在風險。
審計委員會可與遵循長(或類似職位者)開會,瞭解公司在哪方面、如何使用AI,以管理其遵循和道德計畫。
若整個董事會不負責AI監理風險,則審計委員會可以去瞭解—相關的AI規定如何演變,以及這些規定可能如何影響到公司。
董事有一個要詢問的領域是:公司的法務團隊是否審視過契約協議內的潛在法律責任、賠償權、資料所有權、資料保護與隱私,以及其他關於公司AI使用的條款。
遵循中的AI:現實世界的應用
*撰寫遵循政策:AI可根據分析遵循規定、政策範例,來制定遵循政策之草稿。
*瞭解規範:AI可總結與分析各式機關的監理要求及全球期待、確定各遵循義務間的一致與差異,還有找出更有效遵循的機會或潛在落差。
*找出異常之處:AI可偵測員工行為或系統存取方面的異常。
*標明潛在風險:AI可使用自然語言處理,標明在電郵、聊天或文件之中的潛在風險溝通。
*分析資料以取得證據:AI可協助鑑識資料分析,並解析大量非結構化的資料,以找到相關證據。
風險管理
審計委員會通常負責監督關於企業風險管理(ERM)計畫的政策與流程。很多審計委員會也會監督網路安全及資料保密。
考慮到這些責任,審計委員會成員應該要瞭解—公司如何將AI風險納入ERM計畫,以及ERM計畫是否會運用AI來推動更積極的方法處理風險管理。
審計委員會應該瞭解:其監督責任內的哪些模型是公司所定義的較高風險,以及他們會想要更深入瞭解這些模型、以及公司如何管理這些風險。
負責任AI的一個關鍵的面向是:將人的經驗和技術能力整合起來。這個「人在流程」內的模式,對於AI在備受矚目的判斷和結果中發揮作用時,尤其重要,比如在財務報導裡。
AI風險的來源
*資料風險:關於蒐集、處理、儲存、管理相關的風險,還有在訓練和運作AI系統時的風險。這包括處理資料選擇與治理實務如何影響AI模型內的偏見風險。
*模型風險:關於AI系統之訓練、發展,以及其自身績效之風險。這包括模型的概念健全性、可說明性,結果的正確性與可靠性,以及模式績效隨時間變化的問責性與監督。
*系統與基礎設施的風險:在更廣泛軟體和技術環境裡關於取得、落實和運作AI系統的風險。
*法律和遵循的風險:沒有遵守適用法律、規定的風險。這包括保密規定、產業和部門特有的指引,在全球及美國的監理環境這越來越分歧。
*使用上的風險:關於AI系統被有意或無意誤用、操弄或攻擊的風險。
*流程風險:將AI整合進既有流程而產生的未預料到、或未減緩的風險。
*第三方風險:關於提供AI驅動或增強工具、平台與服務之供應商而來的風險。這些風險包括偏見與不可靠的模型、資料保密問題,以及透明度不足。
AI與網路風險
審計委員會通常會監督網路風險。他們應該接觸資安長,針對AI如何影響資料安全、哪些網路活動可解決此新的狀況進行互動。
沒有留言:
張貼留言