As organizações estão avançando rapidamente para adotar soluções de inteligência artificial (IA). Mas quem controla os riscos?

“A IA já existe há algum tempo. Não é novo, mas evoluiu significativamente nos últimos anos”, observou Vikrant Rai, diretor administrativo de Risk Advisory da Grant Thornton. Agora as organizações estão integrando os recursos mais recentes em seus processos. “Estamos em um ponto da história em que agora é fácil acessar algoritmos e modelos de IA de código aberto – e o desempenho desses modelos está indo além do que os humanos podem fazer com precisão”, acrescentou Kaitlyn Ramirez, gerente sênior de Consultoria da Grant Thornton.

“Portanto, é um lugar muito emocionante para se estar”, disse Ramirez. “Mas, como auditores internos, vocês precisam estar muito atentos à coleta de dados da sua organização, ao consentimento para o uso dos dados, à segurança, à privacidade, à precisão dos dados, ao preconceito, à conformidade com os regulamentos e muito mais.”

Para abordar as novas capacidades de IA, as equipes de auditoria interna poderão ter de reformular as suas funções na organização. A Estrutura de Auditoria de Inteligência Artificial do Institute of Internal Auditors define o papel da auditoria interna na IA como ‘ajudar uma organização a avaliar, compreender e comunicar até que ponto a inteligência artificial terá um efeito, negativo ou positivo, na capacidade da organização de criar valor’.

“Acho que, como auditores, muitas vezes nos concentramos na mitigação de riscos e na proteção de ativos. Essas são coisas realmente valiosas, mas acho que nosso papel reforça a capacidade da organização de criar valor para seus acionistas, funcionários e clientes”, disse Scott Peyton, sócio de Risk Advisory da Grant Thornton. “Precisamos voltar à estratégia da organização e à missão geral da IA ​​e, em seguida, garantir que seguimos esse fio durante todas as nossas auditorias.”

Em um webinar recente da Grant Thornton sobre auditoria interna e riscos de IA, mais de mil participantes avaliaram onde as equipes de auditoria interna concentrarão sua atenção na IA:

Grafico pizza informativo

A Auditoria Interna está numa posição única para ajudar as instituições a aproveitar os benefícios da IA, garantindo ao mesmo tempo que os riscos associados sejam conhecidos e adequadamente mitigados.

Onde você está usando Inteligência Artificial?

“Uma pergunta comum que ouvimos é: 'Como posso determinar onde a IA está sendo usada na minha organização?'”, disse Ramirez.

“Do ponto de vista da auditoria interna, você deseja prestar atenção onde a tecnologia de IA está sendo usada agora e também onde ela está sendo desenvolvida ou planejada para maior uso”, disse Ramirez. “Descubra onde a IA está sendo usada analisando como a nuvem da empresa ou os sistemas de nuvem híbrida estão sendo utilizado."

"Esses ambientes são essenciais para facilitar o desenvolvimento de IA, e construir uma compreensão rápida de como eles estão possibilitando casos de uso de IA é um caminho eficiente para um inventário contra o qual você pode avaliar os riscos."

"Este entendimento também pode revelar o uso de shadow IT, onde casos de uso de IA estão sendo desenvolvidos fora dos padrões empresariais.”

Com o crescente interesse na IA generativa, uma maneira simples para os auditores internos localizarem os usos é considerar quais aplicativos estão obtendo um aumento de produtividade com recursos de texto, código, imagem, fala e vídeo habilitados por algoritmo.

Imagem  1

“No momento, vemos clientes adotando IA generativa em um lado desse espectro porque os modelos básicos são muito úteis para a linguagem, avançando nas capacidades de texto e podem ser adaptados para uma variedade de finalidades diferentes e mais específicas”, disse Ramirez.

Depois de identificar as soluções de IA na sua organização, você precisa entender como as pessoas estão usando essas soluções. Mesmo soluções conjuntas de IA com modelos pré-treinados podem ter interações complexas com seus processos de negócios.

Como você está usando Inteligência Artificial?

Quando a auditoria interna sabe onde uma organização está usando IA e como, ela deve observar a arquitetura e a qualidade dos dados. As organizações dependem cada vez mais de dados para tomar decisões impactantes. Estas decisões são tão impactantes quanto a qualidade dos dados, os modelos de dados e os modelos de formação. Além disso, a segurança cibernética é uma consideração importante em termos de segurança e privacidade, bem como na formação de modelos.

Você precisa entender as soluções de IA desde o início, para ver sua funcionalidade e também ajudar a formá-las. Muitas soluções de IA utilizam algoritmos que aprendem e mudam ao longo do tempo Os dados alimentam esse processo de aprendizagem. “Uma solução de IA é quase como uma criança que precisa ser treinada, com informações e feedback”, disse Rai.

“Portanto, seu foco deve estar em quais conjuntos de dados são usados para treinamento, bem como na proteção de dados, na qualidade dos dados e em tudo que se relaciona ao gerenciamento do ciclo de vida dos dados – incluindo coleta, uso, armazenamento e destruição. A maneira como você desenvolve o treinamento, como parte de todo o processo de modelagem de IA, será crítica.”

“A tecnologia de IA pode ser uma ótima ferramenta para ajudá-lo a pesquisar e consultar tudo o que você tem, mas, do ponto de vista da auditoria interna, você precisa garantir que a tecnologia seja usada de maneira adequada e compatível”, disse Ramirez.

Os três fatores

Ramirez disse que considera três fatores ao avaliar os dados que estão sendo inseridos em uma solução de IA:

  • Diversidade de dados
  • Integração de dados
  • Interferência de dados
  • Diversidade de dados
    Avalie a diversidade das suas fontes de dados e os volumes crescentes de dados. Para os auditores internos, isso significa que você tem uma ampla variedade de fontes de dados estruturados e não estruturados que precisa gerenciar para uma governança de qualidade.
  • Integração de dados
    Considere como as soluções de IA são integradas a outras soluções. Sua equipe provavelmente não está desenvolvendo modelos e algoritmos independentes. Eles estão integrando essas tecnologias em outros sistemas. “Pode surgir uma teia de aranha em que essas tecnologias são interligadas a outras aplicações para gerar valor comercial”, disse Ramirez.
  • Interferência de dados
    Quando você usa modelos de linguagem grande (LLMs), por exemplo, existe o risco de esses modelos fabricarem informações que não correspondem diretamente aos dados de entrada fornecidos. “É o que você ouvirá na mídia como 'alucinação' – o modelo gera texto incorreto, sem sentido ou irreal”, disse Ramirez.

Cada setor utiliza os dados de maneira diferente, mas cada equipe de auditoria interna precisa estar atenta a preconceitos inadequados nesses dados. “É importante que os auditores internos entendam como a discriminação atua e é usada nos algoritmos e no desenvolvimento de modelos”, disse Ramirez.

Do ponto de vista da segurança cibernética, os invasores podem introduzir dados maliciosos nos dados de treinamento (também chamado de “envenenamento de modelo”) para influenciar o resultado. Se informações inadequadas estiverem presentes nos seus dados, eles podem resultar em um desvio significativo de comportamento. “Quando você considera que os vieses são reprocessados como parte de um algoritmo, é importante garantir que a qualidade dos dados e dos modelos de treinamento seja alta. Embora o preconceito seja uma parte inerente do resultado, devemos garantir que existem processos e controlos suficientes para excluir o preconceito negativo do resultado”, disse Rai.

Quando há riscos na Inteligência Artificial?

“A IA oferece oportunidades significativas para avanços na medicina, ganhos dramáticos de eficiência nos negócios e desenvolvimento de produtos inovadores. À medida que as organizações adotam a IA e os seus benefícios, a equipa de auditoria interna precisa de ajudar a organização a identificar e abordar os riscos associados antes que estes se concretizem”, disse Peyton.

Existem muitos riscos associados à IA, incluindo alguns específicos de indústrias individuais. Para avaliar os riscos da IA, a auditoria interna pode concentrar um programa em domínios de risco primários.

Imagem 2 infografica

É fundamental considerar esses riscos no nível do programa no início da avaliação e adaptação da IA ​​de uma organização. Eles são frequentemente ignorados, pois unidades de negócios individuais ou equipes técnicas implantam IA dentro de suas próprias “quatro paredes” para resolver casos de uso individuais e dão pouca consideração a aspectos empresariais como governança, ética, privacidade de dados e conformidade regulatória.

À medida que as organizações amadurecem o uso da IA, muitas vezes elas começam a desenvolver suas próprias soluções ou aplicativos de IA que se baseiam em plataformas de código aberto. Este ciclo de desenvolvimento pode criar áreas de risco ainda mais profundas. “À medida que a dependência da IA ​​se torna mais significativa”, disse Peyton, “as equipes de auditoria interna precisam considerar o design técnico, as características técnicas e os princípios orientadores que geram confiança”. 

imagem 3.1 informativa

Clareza, rastreabilidade e explicabilidade provavelmente serão valores importantes para todos os usuários e partes interessadas em uma solução de IA. E, em última análise, você precisa estar pronto para explicar suas soluções de IA às agências ou organizações que regulamentam as soluções de IA.

Quem regulamentará a Inteligência Artificial?

Nos EUA, as responsabilidades e requisitos regulamentares para soluções de IA ainda estão a evoluir, mas já podemos ver alguns temas centrais. 

  • Os reguladores continuam a trabalhar e a enviar sinais sobre mudanças específicas.
  • A expansão das regulamentações existentes de privacidade e proteção de dados são prováveis ​​candidatas à regulamentação de IA no curto prazo
  • Os danos ao consumidor continuarão a ser uma área de foco.
  • As empresas investirão mais em IA e exigirão mais estratégias de mitigação de riscos.

“Do ponto de vista da auditoria interna, você precisa saber que ‘algoritmos complexos’ não constituem uma defesa legal”, disse Ramirez. “Isso é claramente o que os reguladores de todo o mundo estão dizendo, e não é uma desculpa para não saber como funcionam os seus algoritmos.”

Imagem 3 infografica

O que mais podemos esperar, à medida que as regulamentações dos EUA amadurecem? Podemos tirar algumas dicas do Regulamento Global de Proteção de Dados (GDPR) da Europa. “Em primeiro lugar, estamos vendo os reguladores fazerem referência a quatro princípios do GDPR: responsabilidade, justiça, minimização de dados e segurança”, disse Ramirez. “Esses quatro aspectos do GDPR estão vinculados ao que os reguladores consideram riscos em torno da IA.”

“Os reguladores estão pensando em prejudicar os clientes”, disse Ramirez. “Se você puder aplicar essa lente à forma como pensa sobre controles e proteções para IA, você estará em uma boa posição. Com tanto para analisar, é importante que os auditores internos definam um escopo que permita a inovação nos negócios e, ao mesmo tempo, garanta a conformidade.”

Por que você está usando IA?

É fácil para a auditoria interna ficar presa nos detalhes de uma solução de IA, mas os auditores devem primeiro considerar como a solução se conecta aos maiores objetivos da organização.

“Ao pensarmos em como abordamos a auditoria de IA, é importante começar com a missão da IA ​​dentro de cada organização”, disse Peyton.

“Há coisas realmente fantásticas sendo feitas em muitos setores. No entanto, também existem algumas consequências posteriores que não são tão boas”, disse Peyton. “Como auditores, é importante pensarmos sobre isso, conversarmos com aqueles que estão na vanguarda do que a organização faz e fazer a pergunta: “Se estamos usando IA, como a estamos usando para ajudar a avançar em nossos objetivos? "

Esta questão fundamental estabelece um contexto importante para o trabalho da auditoria interna. “Isso nos dará a base para nossas auditorias, pontos de vista, avaliações de risco, casos de uso, consequências não intencionais e a lista continua”, disse Peyton. “É aí que o comitê de auditoria e o conselho realmente precisam se firmar, que é realmente a missão e a estratégia da IA ​​e como ela pode impulsionar uma organização.”

Para obter o máximo valor de uma auditoria interna de IA, é necessário adaptar a auditoria à maturidade atual da adoção de IA pela organização. Para fazer isso, realize uma avaliação de maturidade de IA que inclua estes elementos:

  • Obtenha uma compreensão de todo o cenário de IA em toda a organização
  • Execute uma avaliação de risco de IA de alto nível
  • Avaliar as estruturas, políticas e procedimentos de governança da organização
  • Avaliar processos e requisitos de segurança e privacidade de dados
  • Avalie o alinhamento das implantações de IA da organização com suas diretrizes e valores éticos

A sua avaliação também deve considerar os programas fundamentais dos quais dependem as soluções de IA. Os exemplos incluem ERM empresarial, Ética e Código de Conduta, governança de dados, metodologia e processos SLDC e gerenciamento de risco de terceiros. As conclusões abertas e as limitações conhecidas destes programas devem ser tidas em conta na avaliação dos riscos de IA.

Após uma avaliação inicial da maturidade da IA, a auditoria interna pode avançar para um “mergulho mais profundo” que considere aspectos mais técnicos dos algoritmos e do desenvolvimento da IA.

Este mergulho mais profundo pode aproveitar as vantagens da Estrutura de Risco de Inteligência Artificial (AI RFM 1.0) emitida recentemente pelo Instituto Nacional de Padrões e Tecnologia (NIST), que está organizada em torno de três funções principais:

  • Governar
  • Medir
  • Gerenciar
  • Governar
    Esteja pronto para demonstrar sua governança, supervisão e responsabilidade pelas práticas operacionais.
  • Medir
    Esteja pronto para explicar como as decisões baseadas em algoritmos foram tomadas — como você está obtendo resultados, suas probabilidades e seus insights a partir de seus modelos.
  • Gerenciar
    Esteja pronto para mostrar que sua empresa pode auditar os próprios algoritmos e que você possui proteções autoimpostas.

É importante que as equipes de auditoria interna entendam completamente como e onde outras equipes já estão usando IA — e até mesmo como a equipe de auditoria interna pode usar IA. “Uma das perguntas que tenho visto é: 'A IA vai efetivamente eliminar todos os cargos de auditoria interna ou de contabilidade?'”, disse Peyton.

“Acho que a resposta curta é 'Não'. Acho que o que vemos é que as pessoas que usam IA como parte de seu trabalho assumirão empregos daquelas que não usam IA como parte de seu trabalho. Aqueles que adotam a IA, para poupar tempo de pesquisa e verificar novamente as suas suposições, tornarão o seu trabalho mais eficiente e eficaz.”

“Acho que a IA tem muitas oportunidades, tanto na profissão de auditoria interna como de forma mais ampla, para aprimorar nosso foco e tempo naquelas coisas onde agregamos valor – avaliação de riscos, tomada de decisões”, disse Peyton. “O que realmente cabe a nós, como profissionais de auditoria interna, é entender quais são as estratégias, quais são as tecnologias e como elas estão sendo desenvolvidas de forma bem controlada dentro da organização.”

CTA Pag de Digital