以前我们做审计,总是觉得AI和自动化离我们很远。但是现在,它们早就进了我们的日常工作。我们审计人,用这些技术来做很多事。比如,快速看很多数据;全面测试各种控制;还能发现以前需要好几天才能找到的问题。
不过,工具升级了,老问题还在。就是数据太多了。系统变化也太快了,我们传统方法根本跟不上。以前看几百条记录就行,现在要看几百万条。审计日志和系统设置每秒都在更新,事情变得非常复杂。但是,AI和自动化正好能帮我们处理这些。它们可以把数据分类,标记出不寻常的活动。这样我们就能把精力放在“为什么出了错”上,而不是去数“到底错了几次”。
当然,用这些工具也有新问题。很多时候,我们用的算法不是自己开发的。这就很难弄清楚结果是怎么来的,还有这些结果是不是真的、有没有用。而且,当一个工具或算法在审计测试里很重要时,我们应该遵守什么标准?我们必须对AI和自动化的工作方式和它们的缺点有基本了解。技术是来帮我们判断的,不是来取代我们判断的。
审计语境下的AI与自动化
我们审计人说AI,通常是指那种能从数据里学习,然后不断变得更好的软件。
这是它的工作原理:
- 这种模型能找出不符合正常模式的交易。
- 程序能读懂文件,然后提取出关键信息。
- 系统还能预测哪些控制最可能失效。
而自动化呢,它主要是帮我们高效、一致地做那些重复性工作。比如,提取日志,把发票和订单对起来,核对访问权限列表。
这两种技术都能让我们用更少的时间,看更多的证据。但是它们都不能取代我们这个职业最核心的东西——那就是专业判断。
实践中,这些工具的应用形式多种多样
这些工具的用法很多,而且很实用。
- 预测分析:它能把所有数据都看一遍,不像我们以前只抽小部分样本。这样,我们就能发现更多潜在问题。
- 自然语言处理(NLP)工具:这个工具能自动把文件里的关键内容标记出来。比如,我们看合同,它就能自动把合同条款里的重要信息高亮显示。这样可以帮你大大减少人工搜索时间。以前找半天,现在一下就看到了。
- 机器人脚本:这种脚本能在我们现场工作开始前,就把数据收集和整理好。比如,它可以在审计前把所有的交易记录、系统日志都自动下载、清洗并整理成统一格式。这样我们就能更早地拿到信息。我们节省下来的时间,就能用来做分析,而不是手动搬数据。
关键风险领域
在把AI和自动化带到审计现场之前,我们必须清楚它们带来的风险。这些风险不一定来自工具本身,更多是来自数据、部署方式,还有我们监督得够不够。不管你是政府审计还是企业审计,下面这些问题都会碰到。
数据中隐藏的偏见
AI系统学习全靠你给它什么数据。如果数据里有旧的看法,或者有偏见,AI模型就会照样学过去。
比如,一个供应商可能老是被系统标记成高风险。但这不是它现在有问题,而是几年前的旧记录,把它的风险夸大了。所以,我们审计人必须搞懂模型是怎么得出结论的,而且这个逻辑能用大白话说清楚。那些我们不知道怎么来的“黑箱”结果,不能用在审计上。
你想评估模型的结论可靠不可靠?
- 先检查输入数据的质量和它怎么流转的。这包括数据从哪里来、怎么清理的、怎么分组的。
- 然后,理解模型得出结果的规则。
- 最后,看看有没有测试记录,证明它的输出是准的,没有偏见的。
垃圾进,垃圾出
如果给模型的数据不完整或者过时了,那结果肯定也是错的。
这是它的工作原理:
- 数据字段少了,分析趋势就会歪掉。
- 编码不一致,两个一样的事情可能被认为是没关系的。
加拿大政府内部审计师理事会(GIACC)2024年的调查就说过,数据质量是AI应用最大的障碍之一。所以,数据验证、清洗和访问控制这些事,本身就是重要的审计内容。在你相信任何自动化结果之前,先去测试数据管道的完整性。
切勿交出控制权
自动化不等于不用负责任。就算大部分测试是算法跑的,但最终的结论,还得我们审计人自己负责。如果我们太依赖AI,可能会让我们对事情的怀疑精神变弱。因为工具给的结果看着很准,但其实不一定。
我们应该把AI当成一个初步筛选工具。它帮你把有问题的地方找出来。然后,我们再人工复核,去问询相关的人,或者用其他审计方法来验证它标记出来的问题。这样才能确保,我们发现的这些问题,在实际业务里是合理可信的**。
法规正在加速跟进
AI相关的法律规定,现在发展得很快。
- 你看《欧盟人工智能法案》草案,它明确提了透明度、数据管理和风险分级等要求。他们的官网也一直更新。
- 而且,如果AI处理个人数据,还要遵守像《通用数据保护条例》(GDPR)和加拿大《个人信息保护与电子文件法》(PIPEDA)这样的隐私法规。
如果你没做到这些要求,不光会失去别人的信任,可能还会被罚款。所以,我们在审计规划的早期,就应该把合规检查加进去。这样可以降低风险。
模型自身也需要控制
AI模型也会“变老”、会“漂移”,甚至可能被坏人改动。美国国家标准与技术研究院(NIST)发布的《AI风险管理框架》(RMF)就建议:
- 要定期测试。
- 要做好版本管理。
- 要防止数据被“投毒”或被非法修改。
我们审计人对待AI模型,应该像对待其他重要的IT系统一样。
这是它的工作原理:
- 审查变更日志。
- 确认版本控制机制。
- 评估监控流程,看看能不能及时发现不正常的情况。
坚守伦理底线
有些AI应用会引起道德争议。特别是涉及监控员工、分析工作效率数据,或者在没有足够背景信息下评估员工行为时。
为了处理这些问题,很多审计部门已经:
- 制定了AI使用政策。
- 设立了伦理审查委员会。
- 规定了重要的发现,必须经过人工批准才能处理。
遵循经济合作与发展组织(OECD)的AI原则,可以帮我们更好地明确责任,负责任地使用AI。
治理如何发挥作用
治理很重要。它决定了AI和自动化是让审计更好,还是更差。一个有条理的方法能确保新工具:
- 支持审计目标。
- 符合道德和监管要求。
- 在明确的边界内工作。
我们现有的治理框架可以扩展,把AI带来的新风险和责任都加进去。
通过框架将AI与审计目标对齐
框架可以确保AI工具是来辅助我们的,而不是取代我们做判断。
- COBIT®:这是一个很好的开始。因为它把技术活动和业务目标直接联系起来。
- 它的“评估、指导与监控”(EDM)实践,帮审计团队明确AI要怎么用,谁负责决策,并持续监控工具是否按预期运行。
- 它的“构建、获取与实施”(BAI)领域支持负责任的部署。比如,BAI03(管理解决方案识别与构建)强调在发布前完成方案设计、测试和审批。这和验证AI模型的逻辑、训练数据和预期输出,是非常吻合的。BAI06(管理IT变更)则确保所有模型更新都经过审查和记录,这样可以降低“静默漂移”或未经授权修改的风险。
- ISACA的《IT审计框架》(ITAF)和注册信息系统审计师(CISA®)认证体系:这些框架提醒我们,技术应该服务于审计目标。它们强调证据、文档和可重复测试的重要性。用到AI上,就是说我们必须确保算法的输出是可追溯、可验证、可解释的。框架的作用不是让模型说了算,而是把它作为审计人员综合判断的一个参考。
- 其他标准:
- NIST AI RMF 提出了全生命周期风险管理。
- ISO/IEC 27001:2022 仍然适用于信息安全和变更管理。
- ISO/IEC 42001:2023 则新增了AI系统管理的具体要求。
把这些框架和标准结合起来,我们审计人就能更有效地定制适合自己情况的审查方法。
重视伦理与专业指引
对我来说,用AI的审计人员,伦理已经是一个核心能力了。培训内容现在越来越多地教我们:
- 怎么识别有害偏见。
- 怎么保护敏感数据。
那些把伦理规范融入培训的组织,用AI的时候,决策更清楚,文档更完善,责任也更明确。
公平、透明、问责和人工监督,这些价值怎么强调都不过分。国际内部审计师协会(IIA)的《AI审计框架》就提了一些具体做法:
- 评估算法决策。
- 验证数据质量。
- 确保AI结果可以解释,而且有依据。
ISACA®也通过指引强调:
- 负责任地使用AI。
- 规范记录文档。
- 在AI辅助测试中,保持人类的主导责任。
而且,如果你是做支付卡行业(PCI)评估的审计人,可以参考PCI安全标准委员会2025年发布的《在PCI评估中整合人工智能》指南。它会教你在符合PCI要求的前提下,怎么使用AI。
这些原则加在一起,就是为了确保:AI工具在提高审计效率的同时,不会影响我们的职业道德和专业责任。
弥合差距
传统的审计方法,每个环节都靠人工判断。AI来了,情况变了——自动化推理必须经过验证。
很多团队现在都这么做:
- 他们通过人工抽样复核AI的输出结果。特别是当模型标记出异常,或者给风险分级的时候。
- IIA更新的指引也提供了如何把这种检查融入标准审计流程的例子。
现在,记录AI怎么提供审计证据,以及验证它假设的方法,已经成了我们审计工作必须做的一部分。
熟悉数据与模型
AI在审计里越来越普遍。所以,审计人需要对模型怎么工作,有个基本的了解。我们不用会写代码,但是应该能看懂模型的输出,而且对不正常的结果,能提出疑问。GIACC的调查就显示,审计人对学这些技能的兴趣越来越大。这说明这些工具正在快速融入日常审计。
始终以判断为核心
自动化能提高效率,但它不能取代人类的判断。当工具标记出异常时,我们审计人必须判断这个异常是什么意思,以及它是不是真的算一个控制缺陷。批判性思维和分析推理能力的培训,能帮我们正确理解系统给出的结果,确保我们的结论有充分的依据。
通过认证与实践学习
专业机构现在会提供专门的培训,来补上技能差距。
- 比如,ISACA推出的“AI审计专家认证”(AAIA™),就专门讲怎么审计和治理AI系统。
- 其他有用的学习方向包括数据分析、风险建模和AI伦理。
一些审计团队还会安排员工去IT、数据分析或数据治理岗位轮岗。这样他们以后评估这些系统时,就能有实际操作经验了。
来自一线的经验
审计人员都在根据自己的情况,积极尝试用AI。
比如,英国政府内部审计署(GIAA)就用自然语言处理工具,自动总结很多报告,然后提取出风险主题。
以前,我们审计团队在规划和咨询复核阶段,要花很长时间读很多文件。人工读,覆盖范围有限,而且不同人读出来的东西,结果也不一致。
GIAA为此开发了一个AI驱动的“洞察引擎”。
这是它的工作原理:
- 把大量的叙述性文档(比如内部审计报告、风险评估文档)输入给“洞察引擎”。
- “洞察引擎”使用自然语言处理技术,快速阅读这些文档,识别关键短语、主题和上下文。
- 它能自动总结报告内容,并提炼出重复出现的风险主题。比如,如果很多报告都提到了“网络安全漏洞”或“数据隐私合规问题”,它就能把这些信息汇总起来。
这样做的好处是:
- 过去一个小团队,可能只能在规定时间内看几份报告。现在这个工具能在同样时间里,处理和总结上百份报告。
- 这样可以扩大审计覆盖范围,缩短规划周期。
- 还能更快地识别重复出现的主题。
当然,资深审计师还是会复核和验证AI给出的洞察。他们会确保最终的决策,还是由人来判断。
这个例子清楚地说明了自动化和人工监督结合的好处:机器读得快,但是人来确保理解和判断没有偏差。
结语
AI和自动化正在改变IT审计。它们能扩大测试范围,缩短现场工作时间,还能深化洞察。但是,它们也带来了新风险,比如数据偏见、我们搞不懂的模型,还有复杂的合规要求。
COBIT、NIST AI RMF、ISO/IEC这些标准和指引,为我们负责任地使用这些技术,打下了坚实基础。
成功的关键在于把创新和强大的治理、训练有素的团队结合起来。从小事做起,提高数据质量,规范记录方法,这都能帮助维护审计的公信力。只要用得对,用得好,自动化不但不会威胁审计这个职业,反而能让审计人员有更多时间去思考、去建议。这才是审计价值的核心。
