人工智能（AI）和自動化早已不是遙不可及的未來概念，而是融入了日常審計工作的現(xiàn)實工具。如今，審計人員借助這些技術(shù)完成各種任務(wù)：快速掃描海量數(shù)據(jù)、全面測試控制措施、發(fā)現(xiàn)以往需要數(shù)日才能識別的異常情況。然而，盡管工具有所升級，許多審計團隊仍面臨一個老問題——數(shù)據(jù)量過大，而系統(tǒng)變化之快，遠超傳統(tǒng)測試方法所能跟上的節(jié)奏。過去只需審閱幾百條記錄，如今卻要面對數(shù)百萬條，且審計日志和系統(tǒng)設(shè)置每分每秒都在更新，復(fù)雜性成倍增加。不過，AI 和自動化恰恰可能幫助我們應(yīng)對這種規(guī)模帶來的挑戰(zhàn)：它們能對數(shù)據(jù)進行分類，并標記出異常活動，讓審計人員把精力集中在“為什么出錯”上，而不是反復(fù)統(tǒng)計“出錯多少次”。

當(dāng)然，將這些工具用于審計工作也帶來了新的挑戰(zhàn)。很多時候，審計人員使用的算法和工具并非自己開發(fā)，這就讓人難以確定結(jié)果是如何生成的，以及這些結(jié)果是否真實、相關(guān)。此外，當(dāng)某項工具或算法在審計測試中承擔(dān)了重要角色時，團隊?wèi)?yīng)遵循哪些標準？為確保 AI 和自動化真正助力而非干擾工作，審計人員必須對其運作方式和潛在短板有基本理解——技術(shù)應(yīng)當(dāng)輔助人類判斷，而非取代它。

審計語境下的AI與自動化

當(dāng)審計人員提到AI，通常指的是能夠從數(shù)據(jù)中學(xué)習(xí)并不斷優(yōu)化的軟件。具體而言，這類模型可以識別不符合常規(guī)模式的交易；引擎能讀取文檔并提取關(guān)鍵信息；系統(tǒng)還能預(yù)測控制措施最可能出現(xiàn)失效的位置。

而自動化則幫助審計人員高效、一致地執(zhí)行重復(fù)性任務(wù)，比如提取日志、匹配發(fā)票與訂單、核對訪問權(quán)限列表等。這兩類技術(shù)都能讓審計人員在更短時間內(nèi)覆蓋更多證據(jù)范圍，但都無法替代定義這一職業(yè)的核心——專業(yè)判斷。

實踐中，這些工具的應(yīng)用形式多種多樣：預(yù)測分析可掃描整個數(shù)據(jù)集，而非僅靠小樣本抽樣；自然語言處理工具能自動高亮文檔中的關(guān)鍵內(nèi)容，大幅減少人工搜索時間；機器人腳本可在現(xiàn)場工作開始前就完成數(shù)據(jù)收集與整理，使審計人員更早獲得信息，并將節(jié)省下來的時間用于分析，而非手動搬運數(shù)據(jù)。

關(guān)鍵風(fēng)險領(lǐng)域

在將AI和自動化用于現(xiàn)場審計之前，審計人員必須充分理解其帶來的若干風(fēng)險。這些風(fēng)險未必源于工具本身，而更常來自其所用數(shù)據(jù)、部署方式以及監(jiān)督水平。無論公共部門還是私營機構(gòu)的審計職能，都普遍面臨以下幾類問題。

數(shù)據(jù)中隱藏的偏見

AI系統(tǒng)的學(xué)習(xí)完全依賴于輸入的數(shù)據(jù)。如果底層數(shù)據(jù)包含過時假設(shè)或帶有偏見的模式，模型就會原樣復(fù)現(xiàn)。例如，某個供應(yīng)商可能被反復(fù)標記為高風(fēng)險，并非因其當(dāng)前行為異常，而是因為多年前遺留的日志夸大了其風(fēng)險。因此，審計人員必須清楚模型如何得出結(jié)論，且該邏輯能否用通俗語言解釋清楚。無法追溯或驗證的“黑箱”輸出，不適合用于鑒證工作。

要評估模型結(jié)論是否可靠，審計人員需檢查輸入數(shù)據(jù)的質(zhì)量與流轉(zhuǎn)過程——包括數(shù)據(jù)來源、清洗方式和分組邏輯；理解模型生成結(jié)果所依據(jù)的規(guī)則；并審查是否有可用的測試或驗證記錄，以確認輸出準確且無偏。

垃圾進，垃圾出

若輸入模型的數(shù)據(jù)不完整或已過時，輸出結(jié)果自然也會失真。字段缺失會扭曲趨勢分析，編碼不一致則可能導(dǎo)致兩個完全相同的事件被誤判為無關(guān)。多項調(diào)查（包括加拿大政府內(nèi)部審計師理事會〔GIACC〕2024年對公共部門審計職能的評估）均指出，數(shù)據(jù)質(zhì)量是阻礙AI應(yīng)用的主要障礙之一。因此，數(shù)據(jù)驗證、清洗和訪問控制本身已成為重要的審計議題。在依賴任何自動化結(jié)果前，審計人員應(yīng)先測試數(shù)據(jù)管道的完整性。

切勿交出控制權(quán)

自動化并不免除責(zé)任。即便大部分測試由算法完成，審計人員仍須對最終結(jié)論負責(zé)。過度依賴AI可能削弱職業(yè)懷疑精神，因為工具輸出看似精確客觀，實則未必如此。審計人員應(yīng)將AI視為初步篩選工具，再通過人工復(fù)核、詢問或其他程序驗證標記事項，確保發(fā)現(xiàn)結(jié)果在具體業(yè)務(wù)背景下合理可信。

法規(guī)正在加速跟進

AI相關(guān)的監(jiān)管要求正迅速完善。例如，《歐盟人工智能法案》草案已明確透明度、數(shù)據(jù)治理和風(fēng)險分級等義務(wù)，其官網(wǎng)持續(xù)更新進展。一旦AI處理個人數(shù)據(jù)，還需遵守《通用數(shù)據(jù)保護條例》（GDPR）和加拿大《個人信息保護與電子文件法》（PIPEDA）等隱私法規(guī)。未能滿足這些要求，不僅會損害信任，還可能招致處罰。在審計規(guī)劃早期就納入合規(guī)檢查，有助于降低此類風(fēng)險。

模型自身也需要控制

AI模型會老化、漂移，甚至可能被惡意篡改。美國國家標準與技術(shù)研究院（NIST）發(fā)布的《AI 風(fēng)險管理框架》（RMF）建議定期測試、版本管理和防范數(shù)據(jù)投毒及未授權(quán)修改。審計人員應(yīng)像對待其他關(guān)鍵IT系統(tǒng)一樣對待AI模型：審查變更日志、確認版本控制機制，并評估監(jiān)控流程是否能及時發(fā)現(xiàn)異常行為。

堅守倫理底線

某些AI應(yīng)用會引發(fā)倫理爭議，尤其是在涉及員工監(jiān)控、生產(chǎn)力數(shù)據(jù)分析或在缺乏上下文的情況下評估行為時。為應(yīng)對這些問題，許多審計部門已制定AI使用政策，設(shè)立倫理審查委員會，并規(guī)定重大發(fā)現(xiàn)須經(jīng)人工批準后方可采取行動。遵循經(jīng)濟合作與發(fā)展組織（OECD）的AI原則，有助于強化問責(zé)制和負責(zé)任的使用。

治理如何發(fā)揮作用

治理在決定AI與自動化是增強還是削弱審計職能方面起著核心作用。結(jié)構(gòu)化的方法能確保新工具支持審計目標、符合倫理與監(jiān)管要求，并在清晰邊界內(nèi)運行。現(xiàn)有治理框架可擴展以涵蓋AI引入的新風(fēng)險與責(zé)任。

通過框架將AI與審計目標對齊

框架能有效確保AI工具輔助而非取代審計判斷。COBIT? 是一個理想的起點，因其將技術(shù)活動直接關(guān)聯(lián)到業(yè)務(wù)目標。其“評估、指導(dǎo)與監(jiān)控”（EDM）實踐幫助審計團隊明確AI的使用預(yù)期、界定決策責(zé)任，并持續(xù)監(jiān)控工具是否按預(yù)期運行。

“構(gòu)建、獲取與實施”（BAI）域則支持負責(zé)任的部署。例如，BAI03（管理解決方案識別與構(gòu)建）強調(diào)在發(fā)布前完成方案設(shè)計、測試與審批，這與驗證 AI 模型的邏輯、訓(xùn)練數(shù)據(jù)和預(yù)期輸出高度契合；BAI06（管理 IT 變更）則確保所有模型更新均經(jīng)過適當(dāng)審查和記錄，降低“靜默漂移”或未授權(quán)修改的風(fēng)險。

ISACA的《IT審計框架》（ITAF）和注冊信息系統(tǒng)審計師（CISA?）認證體系進一步提醒我們：技術(shù)應(yīng)服務(wù)于鑒證目標。這些框架強調(diào)證據(jù)、文檔和可重復(fù)測試的重要性。應(yīng)用于AI時，意味著必須確保算法輸出可追溯、可驗證、可解釋。框架的作用不是讓模型主導(dǎo)結(jié)論，而是將其作為審計人員綜合判斷中的一個輸入源。

值得注意的是，NIST AI RMF 提出了全生命周期風(fēng)險管理；ISO/IEC 27001:2022 仍適用于信息安全與變更管理；而ISO/IEC 42001:2023則新增AI系統(tǒng)管理的具體要求。結(jié)合這些框架與標準，審計人員可更有效地定制適合自身環(huán)境的審查方法。

重視倫理與專業(yè)指引

對使用AI的審計人員而言，倫理正成為一項核心能力。培訓(xùn)內(nèi)容越來越多地涵蓋如何識別有害偏見、保護敏感數(shù)據(jù)。那些將倫理準則嵌入培訓(xùn)體系的組織，往往在使用AI時表現(xiàn)出更清晰的決策、更完善的文檔和更強的問責(zé)意識。

公平、透明、問責(zé)和人類監(jiān)督的價值無論如何強調(diào)都不為過。國際內(nèi)部審計師協(xié)會（IIA）的《AI審計框架》提出了評估算法決策、驗證數(shù)據(jù)質(zhì)量、確保AI結(jié)果可解釋且有據(jù)可依的具體做法。ISACA?也通過相關(guān)指引強調(diào)負責(zé)任使用、規(guī)范文檔記錄，以及在AI輔助測試中保持人類主導(dǎo)責(zé)任。此外，從事支付卡行業(yè)（PCI）相關(guān)評估的審計人員還可參考PCI安全標準委員會將于2025年發(fā)布的《在PCI評估中整合人工智能》指南，其中提供了在符合PCI要求前提下使用AI的實用建議。

這些原則共同確保：AI工具在提升鑒證效能的同時，不會削弱職業(yè)道德與專業(yè)義務(wù)。

彌合差距

傳統(tǒng)審計方法默認每個環(huán)節(jié)都依賴人工判斷。AI的引入改變了這一動態(tài)——自動化推理必須經(jīng)過驗證。許多團隊通過人工抽樣復(fù)核AI輸出來彌補這一缺口，尤其當(dāng)模型標記異常或劃分風(fēng)險等級時。IIA更新的指引也提供了將此類核查融入標準鑒證流程的實例。如今，記錄AI如何貢獻審計證據(jù)、以及驗證其假設(shè)所采用的程序，已成為審計工作的必要組成部分。

熟悉數(shù)據(jù)與模型

隨著AI在審計中日益普及，審計人員需具備對模型行為的基本理解。他們不必會寫代碼，但應(yīng)能解讀模型輸出，并對異常結(jié)果提出質(zhì)疑。GIACC的調(diào)查顯示，審計人員對培養(yǎng)此類技能的興趣顯著上升，反映出這些工具正快速融入日常鑒證活動。

始終以判斷為核心

自動化可以提升效率，但無法替代人類判斷。當(dāng)工具標記出異常，審計人員必須判斷其含義，以及是否真正構(gòu)成控制缺陷。批判性思維和分析推理能力的培訓(xùn)，有助于審計人員正確解讀系統(tǒng)輸出，確保結(jié)論有充分支撐。

通過認證與實踐學(xué)習(xí)

專業(yè)機構(gòu)正通過定向培訓(xùn)縮小技能差距。例如，ISACA推出的“AI審計專家認證”（AAIA?）專注于如何審計和治理AI系統(tǒng)。其他有益的發(fā)展方向包括數(shù)據(jù)分析、風(fēng)險建模和AI倫理。一些審計團隊還安排員工輪崗至IT、數(shù)據(jù)分析或數(shù)據(jù)治理崗位，讓他們在日后評估這些系統(tǒng)前，先獲得一手操作經(jīng)驗。

來自一線的經(jīng)驗

審計人員正根據(jù)自身監(jiān)管環(huán)境、數(shù)據(jù)成熟度和日常鑒證挑戰(zhàn)，積極探索AI應(yīng)用。例如，英國政府內(nèi)部審計署（GIAA）利用自然語言處理工具，自動總結(jié)冗長報告并提煉風(fēng)險主題。

過去，審計團隊在規(guī)劃和咨詢性復(fù)核階段需耗費大量時間閱讀大量敘述性文檔，人工閱讀既限制覆蓋范圍，又影響一致性。為此，GIAA開發(fā)了一套基于AI的“洞察引擎”，能在過去一個小團隊審閱少量報告的時間內(nèi)，處理并總結(jié)上百份報告。該工具幫助審計人員擴大覆蓋范圍、縮短規(guī)劃周期、更快識別重復(fù)出現(xiàn)的主題。當(dāng)然，資深審計師仍會復(fù)核并驗證AI生成的洞察，確保最終決策由人類判斷主導(dǎo)。

這一案例充分體現(xiàn)了自動化與人工監(jiān)督結(jié)合的價值：機器加速閱讀，而人確保上下文與判斷不失真。

結(jié)語

AI與自動化正在重塑IT審計。它們能擴大測試覆蓋面、縮短現(xiàn)場工作時間、提升洞察深度。但同時，也帶來了新風(fēng)險——如數(shù)據(jù)偏見、黑箱模型、以及復(fù)雜的合規(guī)要求。COBIT、NIST AI RMF、ISO/IEC標準等指引，為負責(zé)任地采納這些技術(shù)提供了堅實基礎(chǔ)。

成功的關(guān)鍵在于將創(chuàng)新與強有力的治理、訓(xùn)練有素的團隊相結(jié)合。從小處著手、提升數(shù)據(jù)質(zhì)量、規(guī)范方法記錄，有助于維護審計的公信力。只要部署得當(dāng)、使用得法，自動化非但不會威脅審計職業(yè)，反而能讓審計人員騰出更多時間去質(zhì)疑、去建議——而這，正是審計價值的核心所在。

來源：ISACA微信公眾號

編輯：孫哲

目前190000+人已關(guān)注我們，您還等什么？