Tư duy độc lập của kiểm toán viên và khả năng đánh giá rủi ro là những nền tảng cơ bản để đánh giá và giám sát hiệu quả các mô hình AI.

Trí tuệ nhân tạo (AI) phụ thuộc vào dữ liệu đầu vào nên việc sử dụng các mô hình AI có thể dẫn đến những kết quả ngoài ý muốn nếu dữ liệu sai lệch. Do đó, các tổ chức buộc phải thử nghiệm và giám sát mô hình AI cũng như dữ liệu thông qua hoạt động kiểm toán nội bộ để đảm bảo rằng các chức năng tự động hóa đang hoạt động như dự kiến.

Đánh giá và giám sát hiệu quả các mô hình AI

Theo nghiên cứu của Viện Trí tuệ nhân tạo Deloitte, AI là một lĩnh vực mới nổi đang có tác động mạnh mẽ đến hoạt động kinh doanh và cách thức các tổ chức đạt được sứ mệnh, chiến lược và mục tiêu của họ. Tuy nhiên, các mô hình AI chỉ tốt khi dữ liệu cung cấp cho chúng đáp ứng yêu cầu, ngược lại, nếu bản thân dữ liệu bị thiếu sót hoặc thay đổi theo thời gian thì kết quả đầu ra có thể thay đổi. Để ứng phó với rủi ro này, các tổ chức buộc phải điều chỉnh khả năng của mình bằng cách giám sát cả mô hình AI và dữ liệu.

Một trong những nhiệm vụ cốt lõi của kiểm toán viên (KTV) là giúp tăng cường sự tin cậy và minh bạch thông qua việc cung cấp sự đảm bảo về nhiều vấn đề khác nhau, từ báo cáo tài chính đến tuân thủ quy định. Cơ sở để KTV đưa ra sự đảm bảo bao gồm việc đánh giá hoạt động quản trị, rủi ro và các quy trình liên quan đến đối tượng được lựa chọn. Tư duy độc lập của KTV và khả năng đánh giá rủi ro là những nền tảng cơ bản để đánh giá và giám sát hiệu quả các mô hình AI.

Các chuyên gia của Deloitte đã chia cách thức quản trị rủi ro về AI thành ba tuyến, bao gồm: Tuyến đầu tiên là Ban quản lý (chủ sở hữu quy trình/mô hình) có trách nhiệm chính trong việc sở hữu và quản lý các rủi ro liên quan đến hoạt động phát triển và vận hành hằng ngày. Ban quản lý cần có hiểu biết cơ bản về rủi ro trong các ứng dụng AI và nơi chúng thể hiện trong các mô hình, dữ liệu cụ thể liên quan đến các trường hợp sử dụng của tổ chức.

Tuyến thứ hai là quản lý rủi ro cung cấp sự giám sát dưới dạng khuôn khổ, chính sách, thủ tục, phương pháp luận và công cụ. Nhóm được phân công ở tuyến hai phải có hiểu biết sâu sắc về các rủi ro đặc thù của AI cũng như các biện pháp kiểm soát và giảm thiểu liên quan.

Tuyến thứ ba là kiểm toán nội bộ đánh giá các chức năng tuyến một và tuyến hai, đồng thời báo cáo về thiết kế và hiệu quả hoạt động của AI cho hội đồng quản trị và ủy ban kiểm toán. Đặc biệt, khi đánh giá tuyến đầu, kiểm toán nội bộ đánh giá xem việc giám sát và phát triển AI có tuân thủ các chính sách của tổ chức, các phương pháp hay nhất để phát triển mô hình và các quy định có liên quan hay không.

Thúc đẩy sự tin cậy và minh bạch trong việc sử dụng AI

Theo cách thức quản trị rủi ro về AI ở trên, KTV sẽ làm việc với từng tuyến bảo vệ, lãnh đạo cấp cao và những người chịu trách nhiệm quản trị (Ban giám đốc) để đánh giá môi trường kiểm soát của tổ chức. Khi các tổ chức áp dụng và mở rộng việc sử dụng AI, KTV có thể đóng vai trò chính trong việc giúp các tổ chức xác định và giải quyết các rủi ro dành riêng cho AI.

Theo đó, KTV giúp các tổ chức tuân thủ và duy trì đối thoại chặt chẽ với nhiều cơ quan quản lý. Ngoài ra, KTV đóng vai trò quan trọng trong việc củng cố niềm tin và sự tin tưởng của nhà đầu tư thông qua việc giúp giải quyết các kỳ vọng của nhà đầu tư về tính minh bạch. Kinh nghiệm của KTV với các cơ quan quản lý và sự hiểu biết về quy trình quản lý cũng như kỳ vọng của nhà đầu tư có thể cung cấp thông tin chi tiết cho các bên về tính minh bạch và chức năng của các ứng dụng AI.

Một khía cạnh quan trọng trong công việc của KTV là điều chỉnh các khả năng hiện có và phát triển các khả năng mới để hợp tác với các tổ chức nhằm thúc đẩy sự tin cậy và minh bạch trong việc sử dụng AI. Điều này có thể hỗ trợ tăng cường và thúc đẩy việc áp dụng AI để giúp đạt được các mục tiêu chiến lược của tổ chức. Con người, quy trình và công nghệ là những yếu tố chính để KTV tập trung đánh giá khi muốn thúc đẩy sự tin cậy và minh bạch trong việc sử dụng AI.

Trong đó, con người – chủ sở hữu mô hình, nhà khoa học dữ liệu và nhà phát triển… là những đối tượng chính mà tổ chức cần tận dụng để quản lý và kiểm soát rủi ro cũng như quản lý rủi ro, sau đó là tăng cường các chức năng của AI. Quy trình bao gồm các thông lệ hàng đầu, khuôn khổ và quy định có liên quan kết hợp các cân nhắc dành riêng cho AI.

Các tổ chức cần chủ động chuẩn bị và thực hiện các bước để giảm thiểu rủi ro thay vì phản ứng một cách thụ động. Công nghệ bao gồm AI và nền tảng khoa học dữ liệu tạo điều kiện thuận lợi cho các quy trình được kiểm soát để phát triển mô hình, triển khai và giám sát hiệu suất liên tục.

Giống như Ban lãnh đạo, các KTV cũng phải thử nghiệm và điều chỉnh cách tiếp cận các mô hình AI cho phù hợp với yêu cầu thực tiễn. Các chuyên gia của Deloitte khuyến nghị KTV cần lưu ý một số vấn đề khi tiếp cận AI gồm:

Các mục tiêu AI có phù hợp với sứ mệnh và chiến lược của tổ chức đó không? Liệu cấu trúc và các biện pháp kiểm soát của tổ chức có phù hợp với một khuôn khổ quản trị và giám sát hiệu quả mô hình AI?

Cách thức để tổ chức có thể: Đánh giá rủi ro và tác động của các ứng dụng AI cũng như xem xét tác động từ các lĩnh vực cốt lõi liên quan (quản lý dữ liệu, an ninh mạng…); thiết kế và triển khai chế độ thử nghiệm hiệu quả cho các mô hình AI; giải thích các kết quả của chế độ thử nghiệm và phản ứng với các phát hiện hoặc ngoại lệ.

Theo: Báo Kiểm Toán