Osiągnięcie skutecznej kontroli wewnętrznej nad generatywną sztuczną inteligencją (GenAI)
- Katarzyna Celińska
- 27 lut
- 2 minut(y) czytania
COSO (Komitet Organizacji Sponsorujących Komisji Treadway) opublikował właśnie dokument „Achieving Effective Internal Control Over Generative AI (GenAI)” („Skuteczna kontrola wewnętrzna nad generatywną sztuczną inteligencją (GenAI)”) przeznaczony dla wszystkich osób zajmujących się zarządzaniem, ryzykiem, kontrolą wewnętrzną, audytem lub zgodnością. Stanowi on strukturalny pomost między najbardziej uznaną na świecie strukturą kontroli wewnętrznej a realiami wdrażania GenAI.
Jako osoba od lat działająca w ekosystemie COSO, w tym w kontekście projektów SOC1 i SOC2 głęboko zakorzenionych w zasadach COSO, postrzegam tę publikację jako naturalną, ale niezwykle ważną ewolucję.
Foto: Freepik
COSO nie stworzyło odrębnych „ram AI”. Zamiast tego rozszerzyło zintegrowane ramy kontroli wewnętrznej i przełożyło jej pięć elementów na kontekst GenAI.
COSO wyraźnie uznaje zmianę związaną z AI i określa GenAI jako technologię, która skraca cykle decyzyjne, jednocześnie zwiększając zarówno wartość, jak i ryzyko.
Taksonomia
COSO identyfikuje osiem typów możliwości GenAI, które są zgodne z logiczną sekwencją od danych do decyzji:
1️⃣ Pozyskiwanie i ekstrakcja danych
2️⃣ Transformacja i integracja danych
3️⃣ Zautomatyzowane przetwarzanie transakcji i uzgadnianie
4️⃣ Koordynacja przepływu pracy i autonomiczne wykonywanie zadań
5️⃣ Ocena, prognozowanie i generowanie wniosków
6️⃣ Monitorowanie oparte na sztucznej inteligencji i ciągła weryfikacja
7️⃣ Pobieranie i podsumowywanie wiedzy
8️⃣ Współpraca między człowiekiem a sztuczną inteligencją
Jest to praktyczne podejście. Pozwala organizacjom zrozumieć, skąd biorą się ryzyka i jak rozprzestrzeniają się one w dalszych procesach.
Z mojej perspektywy odzwierciedla to sposób, w jaki myślimy o projektowaniu kontroli w ramach działań SOC: identyfikujemy warstwę procesową, identyfikujemy ryzyko, przypisujemy cele kontroli, a następnie testujemy projekt i skuteczność działania.
Zależność od sztucznej inteligencji a ICFR
Dokument wyraźnie wprowadza roboczą definicję zależności od sztucznej inteligencji w kontekście kontroli wewnętrznej sprawozdawczości finansowej. Jeśli kierownictwo opiera się na wynikach sztucznej inteligencji jako dowodach potwierdzających skuteczność projektową lub operacyjną kontroli, wówczas wzorce kontroli sztucznej inteligencji muszą spełniać te same standardy dowodowe, jakie obowiązują w przypadku ICFR, w tym udokumentowane monity, konfiguracje, wersje modeli, uzasadnienie doboru próby i zachowane dowody. Wyraźnie zmierzamy w kierunku przyszłości, w której kontrole oparte na sztucznej inteligencji będą podlegać takim samym rygorystycznym wymogom jak tradycyjne kontrole automatyczne zgodnie z ustawą SOX.
Nie zdziwiłbym się, gdyby ramy AICPA dotyczące sprawozdawczości SOC ewoluowały w tym kierunku w najbliższej przyszłości.
Praktyczny plan wdrożenia
1️⃣ Ustanowienie struktury zarządzania AI
2️⃣ Sporządzenie wykazu przypadków użycia GenAI
3️⃣ Ocena ryzyka według komponentów COSO
4️⃣ Projektowanie i mapowanie kontroli
5️⃣ Wdrożenie i komunikacja
6️⃣ Monitorowanie i dostosowywanie
Autor: Sebastian Burgemejster
Komentarze