這是KPMG在2025年 12月 4日刊出的文章:AI risks and opportunities are at the heart of the audit committee agenda。
每個審計委員會都需要開始思考人工智慧(AI)。其創新速度、應用的普及率、對生產力的影響,以及無所不在的特性,使其成為無法忽視的議題。根據我們最新的《執行長展望》(CEO Outlook)調查,在未來三年內,為了達到企業的成長目標,在整個組織內瞭解並應用生成式AI是最主要的營運優先事項。越來越多組織採用一種有限人為介入下執行任務的AI—代理型AI(Agentic AI)。有86%的企業領導人表示,代理型AI是其組織最主要的投資優先事項。這正在影響組織的流程、系統及控制機制,以及如何在整個流程裡納入人員參與。因此,無論審計委員會的職權範圍是涉及監督整體組織的風險管理,還是較傳統聚焦於財務功能,AI都應該是審計委員會的重要議程事項。
審計委員會必須瞭解AI的應用範圍及使用方式
審計委員會需要瞭解在財務報導流程中使用AI的環節、使用方式,與所伴隨的風險。某些委員會根據其職權範圍,也可能需要詢問AI在整個組織裡的運用狀況。不管審計委員會的監督範圍為何,盤點清單應該包括開發中的AI應用,以及透過現有技術升級而導入的AI功能。
組織也應該確保員工不使用未經授權的AI驅動工具,因為該工具可能不適合組織、或者不適合其被應用的任務內容。這可能會導致不恰當的產出結果、提高網路安全風險,以及破壞資料安全、資料隱私以及組織的競爭優勢。
組織可以透過鼓勵員工以符合其職務角色和責任的方式,使用經授權的AI驅動工具,來強化IT治理。作為整體風險管理策略的一環,某些組織正在嘗試相關措施,例如員工聲明(attestations)與技術控制,以協助確保僅有經核准、合規的AI解決方案,可以在與工作有關的設備上被存取。這個方法有助於培養一個安全、管理得宜的AI應用環境,同時支持組織目標及遵循需求。
為了進一步改善這些治理措施,審計委員會應與管理階層討論,針對AI工具之適合性與既有的監督狀況進行審查。並詢問管理階層,他們如何確保AI工具符合預期用途,以及其產出在會計與倫理的立場上是否恰當?例如會影響人員的工具,例如招聘流程中的AI,容易受偏見的影響,則應予以監控和改正。由於這些工具大多是新興科技,因此仍應該對產出施以人為監督和判斷,並在發生錯誤時應予以修正。管理階層應該向委員會證明,他們具備健全的控制機制,來管理這些工具可能帶來的風險、以及因整合AI而改變現有組織系統與流程的潛在風險。
檢驗AI如何影響外部的審計工作
為確保全面監督AI相關的風險與機會,審計委員會除了公司內部實務外,也應該關注外部相關者,例如會計師如何運用AI。審計委員會應該詢問會計師,實務上如何使用與治理AI,以及其工作如何受到公司使用AI的影響,並應聚焦於可解釋性(explainability),而非接受「黑箱」的產出結果。例如委員會可要求會計師說明模型的用途、輸入、資料來源、假設以及限制,並示範如何驗證產出結果及人為監督,來進一步了解會計師如何評估AI生成的佐證資料。委員會也應該確認,會計師是否對其團隊進行訓練,包括可解釋性、負責任的使用AI,及其組織的AI政策,以確保其維持專業能力。
AI可能為既有風險帶來新的面向
AI可能會為資安帶來新挑戰,所以保護公司資料和個人資訊的措施至關重要。例如某些AI應用涉及異地資料儲存和處理。審計委員會應該確保管理階層針對AI的使用,調整對於資安與資料隱私的相關作法。管理階層應該要知道組織資料儲存之處,如果資料被置於組織外部,就應該要持續評估異地儲存的安全性。同時,管理階層也應該判斷,任何AI供應商是否正在使用組織資料訓練或微調其模型、根據什麼樣的資料分享條款,以及有什麼保護機制,並確保這些做法符合組織隱私、安全以及智慧財產權要求。
一般來說,與AI相關的第三方風險正在增加。現有的大型科技公司正將AI整合進其產品中,很多新的供應商正提供AI解決方案,而且很多非科技業的供應商則會在其營運中使用AI。審計委員會應該詢問管理階層,他們如何審查新的AI服務供應商,以及如何監督第三方營運的AI使用情況。隨著整個產業都在採用AI,組織的風險概況與競爭地位會持續改變。
監理機關正在監控AI
大多數司法管轄區與證券監理機關正在檢視有關AI的法規及報導要求,但是迄今為止,正式的規定仍然很少,歐盟人工智慧法(EU Artificial Intelligence Act)在2024年8月1日生效。其禁止了某些AI的使用,並依其風險等級對AI的應用進行規範,涵蓋風險管理、資料治理、紀錄保存與文件管理,以及人工監督。
美國證券交易委員會(Securities and Exchange Commission,SEC)尚未提出最終的AI規定,但要求企業在現行報導架構內揭露相關的重大風險及事件,並提醒公司避免對其AI使用作出不實陳述。在加拿大,聯邦政府已對先進生成式AI系統發佈自願性行為守則,同時加拿大證券監理機構(Canadian Securities Administrators,CSA)已提出一份解釋函,內容沒有另立新要求,但提供了將現行證券法規適用到AI的指引。審計委員會需要確保管理階層持續掌握監理變動,並在必要時遵守相關規定。
加拿大公眾問責委員會(Canadian Public Accountability Board,CPAB)已提出一份關於在審計領域使用AI的報告。該報告建議「平衡創新與風險」,這個看法突顯了在組織內部治理AI時,董事會、審計委員會及管理階層所面臨的艱難平衡。AI帶來很多必須加以控制的風險,但對這些風險的擔憂可不能扼殺了AI帶來的機會。
AI治理始於一個整體性的架構
要隨著每項AI的創新或導入來調整治理機制將是一項挑戰,但一個設計完善的基礎架構,透過AI使用的一般性政策,可以提供足夠的風險評估及治理,同時保持足夠的通用性,以在不同階段與版本的演進中提供指引。
AI素養應該是這個架構的核心原則,相關證據顯示,加拿大各組織在這方面還是有進步的空間。根據KPMG International及墨爾本大學的研究報告《信任、態度及人工智慧之使用:2025年全球研究》(Trust, attitudes and use of artificial intelligence: A global study 2025),在AI素養上,加拿大在47個國家中排第44名;僅24%的加拿大受訪者表示,他們曾接受AI訓練;不到一半(47%)認為他們能有效使用AI工具。
AI教育至關重要
AI教育必須超越操作使用培訓,而應針對組織內不同職能與風險概況來設計。此類教育應該包含AI風險、適當和有效使用AI的公司政策,並且討論如何使用AI實現更大的業務目標。培訓內容也應該針對不同職能領域量身設計,因為各部門所接觸的資料類型各不相同。這就要求對同樣的工具也要有不同的使用方式,並搭配特定的流程與預防措施,以達到對這些工具的最佳使用。
為了適當地監督組織內的AI應用,審計委員會應該詢問管理階層,他們如何為自己與員工提供AI訓練,以及他們如何監控訓練的有效性。審計委員會也應該評估其自身的相關知識水平,並判斷是否需要額外的教育、或甚至考慮透過招聘以提升其AI素養。
AI的普及性需要被重視,而這一切始於對AI的瞭解。
審計委員會應該提出的問題:
*目前組織中使用AI的領域有哪些?
*我們的組織是否制訂AI政策,並涵蓋AI治理、AI資料安全與隱私,以及AI訓練與教育?
*我們的董事會是否具備數位或AI技能,以有效進行治理?
*我們對AI使用的整體治理架構是甚麼?
*我們如何教育員工有關AI風險、政策及正確使用?
*當我們引入新的AI服務供應商,或使用AI的供應商時,我們如何評估及監控第三方風險?
*AI對於外部稽核工作的影響是甚麼?包括外部稽核單位自己使用AI,或公司使用AI對外部稽核所發生的影響?
*當我們使用更多AI時,如何確保適當的資料管理及保護?
資料來源:https://kpmg.com/ca/en/home/insights/2025/11/ai-is-changing-the-audit-committee-agenda.html
沒有留言:
張貼留言