آنچه هیئت‌های مدیره باید از هوش مصنوعی مطالبه کنند: ارزیابی، حسابرسی و اطمینان

نوشته اریکا فیل تی. لگارا

در مقاله قبلی BusinessWorld، من استدلال کردم که حاکمیت هوش مصنوعی فراتر از نظارت بر تعدادی پروژه فناوری است و اکنون شامل اطمینان از این است که تصمیمات مبتنی بر هوش مصنوعی در سراسر سازمان همچنان با استراتژی، میزان ریسک‌پذیری و استانداردهای اخلاقی همسو باقی بمانند. یک سوال طبیعی برای هیئت‌مدیره این است: فراتر از تعیین انتظارات، چگونه یک سازمان تأیید می‌کند که سیستم‌های هوش مصنوعی آن واقعاً همانطور که در نظر گرفته شده، به طور مسئولانه و در محدوده‌های تعریف‌شده عمل می‌کنند؟

پاسخ در سه رشته مرتبط اما متمایز نهفته است: ارزیابی ریسک هوش مصنوعی، حسابرسی هوش مصنوعی و تضمین هوش مصنوعی. هیئت‌مدیره‌هایی که با نظارت مالی آشنا هستند، منطق را بدیهی خواهند یافت. چالش و فرصت، اعمال همان نظم و انضباط در مورد هوش مصنوعی است.

۳ مفهوم متمایز اما مرتبط
دقیق بودن در مورد معنای هر اصطلاح مفید است، زیرا اغلب به جای یکدیگر استفاده می‌شوند در حالی که نباید اینطور باشد.

ارزیابی ریسک هوش مصنوعی فرآیند داخلی است که طی آن یک سازمان ریسک‌های مرتبط با سیستم‌های هوش مصنوعی خود را شناسایی، ارزیابی و اولویت‌بندی می‌کند. این فرآیند می‌پرسد چه چیزی ممکن است اشتباه پیش برود، چقدر محتمل است و تأثیر آن چه خواهد بود. این پایه‌ای است که همه چیز دیگر بر روی آن استوار است. بدون یک ارزیابی ریسک معتبر، نه حسابرسی و نه تضمین، خط پایه معناداری برای کار کردن ندارند. سیستم‌های هوش مصنوعی مهم در هر بخشی وجود دارند: یک مدل امتیازدهی اعتباری در بانک، یک ابزار تریاژ بیمار در بیمارستان، یک پیش‌بینی‌کننده عملکرد دانش‌آموز در دانشگاه، یک سیستم اولویت‌بندی پرونده در یک سازمان دولتی. آنچه آنها مشترک دارند، پیامد است که شامل خروجی‌هایی است که بر افراد واقعی به روش‌های معنادار تأثیر می‌گذارد.

برای هر چنین سیستمی، ارزیابی ریسک باید سیستماتیک، مستند و به طور منظم با تکامل مدل و تغییر محیط عملیاتی مورد بازنگری قرار گیرد.

حسابرسی هوش مصنوعی بررسی مستقل این است که آیا یک سیستم هوش مصنوعی یا چارچوب حاکمیتی پیرامون آن با استانداردها، سیاست‌ها یا الزامات تعریف‌شده مطابقت دارد یا خیر. این یک فرآیند مبتنی بر شواهد است که توسط طرفی به اندازه کافی مستقل از مسئولان سیستم مورد بررسی انجام می‌شود. یک حسابرسی هوش مصنوعی ممکن است ارزیابی کند که آیا شیوه‌های مدیریت هوش مصنوعی یک سازمان با یک استاندارد بین‌المللی شناخته‌شده مانند ISO/IEC 42001، اولین استاندارد سیستم مدیریت هوش مصنوعی جهان که در سال ۲۰۲۳ منتشر شد، مطابقت دارد یا خیر، یا اینکه آیا یک مدل خاص در محدوده پارامترهای تأیید‌شده و بدون تعصب ناخواسته عمل می‌کند. نکته مهم این است که استاندارد حاکم بر خود حسابرسان، ISO/IEC 42006، که در ژوئیه ۲۰۲۵ منتشر شد، اکنون صلاحیت و دقت مورد نیاز نهادهایی که سیستم‌های مدیریت هوش مصنوعی را حسابرسی و تأیید می‌کنند را تعیین می‌کند. به عبارت دیگر، حرفه حسابرسی در حال رسمی کردن پاسخگویی خود برای مشارکت‌های هوش مصنوعی است.

تضمین هوش مصنوعی نتیجه‌گیری رسمی و رو به ذی‌نفعان است که از آن فرآیند حسابرسی پدید می‌آید. این نظر حرفه‌ای است که توسط یک طرف واجد شرایط و مستقل صادر می‌شود که به هیئت‌مدیره، تنظیم‌کنندگان، سرمایه‌گذاران و عموم اطمینان می‌دهد که یک سیستم هوش مصنوعی یا چارچوب مدیریت هوش مصنوعی با یک استاندارد تعریف‌شده مطابقت دارد. تضمین چیزی است که یک بررسی داخلی را به یک سیگنال خارجی معتبر تبدیل می‌کند.

پایه‌گذاری تضمین هوش مصنوعی
مفهوم تضمین مستقل برای هیئت‌مدیره جدید نیست. هر سال، حسابرسان خارجی صورت‌های مالی یک سازمان را بررسی می‌کنند و نظری صادر می‌کنند؛ نتیجه‌گیری مبتنی بر شواهد، انجام‌شده تحت استانداردهای بین‌المللی شناخته‌شده و مبتنی بر استقلال حرفه‌ای حسابرس. این نظر دقیقاً به این دلیل وزن دارد که چارچوب حاکم بر آن دقیق و تثبیت‌شده است. این منطق بدون توجه به صنعت اعمال می‌شود؛ چه سازمان یک بانک، بیمارستان، شرکت بزرگ یا یک موسسه عمومی باشد، حسابرسی مالی یک مکانیزم آشنا و قابل اعتماد است.

همان منطق اکنون برای هوش مصنوعی اعمال می‌شود. وقتی یک سازمان ادعای عمومی یا نظارتی در مورد سیستم‌های هوش مصنوعی خود مطرح می‌کند که آنها منصفانه، شفاف، مطابق با یک استاندارد تعریف‌شده یا عاری از تعصب مادی هستند، سوال این است: چه کسی به طور مستقل آن ادعا را تأیید می‌کند و تحت چه چارچوب حرفه‌ای؟

پاسخ، برای حرفه حسابداری و حسابرسی، ISAE 3000 است، استاندارد بین‌المللی در مورد مشارکت‌های تضمین صادر شده توسط هیئت استانداردهای بین‌المللی حسابرسی و تضمین (IAASB). ISAE 3000 مشارکت‌های تضمین را در موضوعات غیر از اطلاعات مالی تاریخی حاکم می‌کند و آن را به خانه طبیعی برای تضمین هوش مصنوعی تبدیل می‌کند. تحت این استاندارد، یک حرفه‌ای می‌تواند یک مشارکت تضمین معقول، استاندارد بالاتر مشابه یک حسابرسی مالی، یا یک مشارکت تضمین محدود را که از نظر عمق به یک بررسی نزدیک‌تر است، انجام دهد. انتخاب سطح مهم است و باید عمدی باشد، متناسب با اهمیت و ریسک سیستم هوش مصنوعی مورد نظر.

یک موازی معاصر نزدیک، تضمین پایداری یا ESG است. بسیاری از شرکت‌های فهرست‌شده فیلیپین در حال حاضر در حال سفارش تضمین مستقل بر افشای پایداری خود هستند، اغلب تحت ISAE 3000. مکانیک دقیقاً یکسان است: یک متخصص مستقل مجموعه‌ای از ادعاها را در برابر معیارهای تعریف‌شده بررسی می‌کند و یک نتیجه‌گیری رسمی صادر می‌کند. موضوع متفاوت است؛ نظم و انضباط حرفه‌ای متفاوت نیست.

این برای هیئت‌مدیره چه معنایی دارد
سه پیامد عملی از این چارچوب ناشی می‌شود.

اول، هیئت‌مدیره باید بپرسند که آیا سازمان‌های آنها ارزیابی ریسک دقیق هوش مصنوعی را در سیستم‌های مهم انجام داده‌اند یا خیر. نه یک تمرین یکباره، بلکه یک فرآیند زنده که با آموزش مجدد مدل‌ها، گسترش موارد استفاده و تکامل محیط نظارتی به‌روزرسانی می‌شود. کیفیت کار حسابرسی و تضمین بعدی فقط به خوبی ارزیابی ریسکی است که قبل از آن انجام می‌شود.

دوم، هیئت‌مدیره باید بین حسابرسی داخلی و خارجی هوش مصنوعی تمایز قائل شوند. عملکردهای حسابرسی داخلی نقش حیاتی در ارائه تضمین دارند که کنترل‌های هوش مصنوعی همانطور که طراحی شده‌اند عمل می‌کنند. با این حال، هیئت‌مدیره باید همچنین در نظر بگیرند که آیا یک حسابرسی مستقل شخص ثالث از سیستم‌های هوش مصنوعی مهم موجه است یا خیر، به ویژه برای سیستم‌هایی که بر مشتریان، کارکنان یا عموم به روش‌های مهم تأثیر می‌گذارند. همانند حسابرسی مالی، استقلال اعتبار را تقویت می‌کند.

سوم، همانطور که سازمان‌ها به طور فزاینده‌ای تعهدات عمومی در مورد شیوه‌های هوش مصنوعی خود به تنظیم‌کنندگان، سرمایه‌گذاران و جوامعی که خدمت می‌کنند، ارائه می‌دهند، هیئت‌مدیره باید بپرسند که آیا آن تعهدات با تضمین معتبر پشتیبانی می‌شوند یا خیر. ادعاهای بدون اعتبارسنجی مستقل، در بهترین حالت، یک ریسک شهرتی هستند که منتظر تحقق هستند.

حرفه‌ای که هنوز در حال ساخت قابلیت‌های خود است
ارائه این چشم‌انداز بدون اذعان به محدودیت‌های فعلی آن ناقص خواهد بود. زیرساخت برای تضمین هوش مصنوعی هنوز در حال ساخت است. استانداردهای حرفه‌ای در حال ظهور هستند. صلاحیت‌های حسابرس در هوش مصنوعی، شامل یادگیری ماشین، تعصب الگوریتمی، حاکمیت داده و شفافیت مدل، هنوز به طور یکنواخت در سراسر حرفه توسعه نیافته‌اند. ISAE 3000 چارچوب تضمین را فراهم می‌کند، اما روش‌های خاص هوش مصنوعی که در آن قرار دارند هنوز در حال بلوغ هستند.

برای سازمان‌هایی که هنوز آماده دنبال کردن تضمین رسمی نیستند، این دلیلی برای ایستادن نیست. یک ارزیابی ساختاریافته و منظم از سیستم‌های هوش مصنوعی مهم یک گام اول معنادار و عملی است. این نظم و انضباط داخلی، مستندسازی و عادات حاکمیتی را ایجاد می‌کند که آماده‌سازی تضمین در نهایت نیاز دارد. هیئت‌مدیره‌هایی که امروز چنین ارزیابی‌هایی را سفارش می‌دهند، حتی به طور غیررسمی، در حال توسعه عضلات سازمانی هستند که وقتی انتظارات نظارتی سخت‌تر می‌شوند و بررسی ذی‌نفعان تشدید می‌شود، مهم خواهند بود.

این دیدگاه یکی از مواردی است که من عمیق‌تر در تحقیقاتی که با همکاران در حال توسعه آن بوده‌ام، بررسی کرده‌ام که حاکمیت هوش مصنوعی تولیدی را در اقتصادهایی که مقررات هنوز با فناوری همگام نشده، بررسی می‌کند. استدلال اصلی این است که شرکت‌ها در حال حاضر عوامل اخلاقی با تعهدات اخلاقی موجود به ذی‌نفعان خود هستند؛ انتظار برای قانون‌گذاری هوش مصنوعی سفارشی نه لازم و نه کافی برای حاکمیت مسئولانه است. تعهد به عمل در حال حاضر وجود دارد. آنچه مورد نیاز است اراده سازمانی برای عملیاتی کردن آن است.

این دلیلی برای هیئت‌مدیره برای انتظار در مورد دستور کار گسترده‌تر نیست. این دلیلی است برای پرسیدن سوالات آگاهانه در حال حاضر، از حسابرسان خارجی، عملکردهای حسابرسی داخلی و تیم‌های مدیریتی آنها، به طوری که وقتی قابلیت‌های حرفه با تقاضا همگام می‌شود، سازمان‌های آنها آماده درگیر شدن معنادار باشند.

حسابرسی مالی به طور کامل ظهور نکرد. دهه‌ها استانداردگذاری، توسعه حرفه‌ای و درس‌های سخت از شکست‌های شرکتی طول کشید تا حسابرسی مستقل به موسسه معتبری که امروز است تبدیل شود. تضمین هوش مصنوعی در یک نقطه عطف اولیه قابل مقایسه است. هیئت‌مدیره‌هایی که اکنون با آن درگیر می‌شوند، سوالات دقیق‌تری از حسابرسان خود می‌پرسند، بیش از ادعاهای مدیریتی تقاضا می‌کنند و قابلیت‌های داخلی را قبل از اینکه تنظیم‌کنندگان آنها را ملزم کنند، ایجاد می‌کنند، نه تنها قرار گرفتن خود را کاهش می‌دهند. آنها به شکل‌دادن به این کمک می‌کنند که پاسخگویی مسئولانه هوش مصنوعی برای سازمان‌های فیلیپینی و منطقه گسترده‌تر چگونه به نظر می‌رسد.

اریکا فیل تی. لگارا یک فیزیکدان، مربی و متخصص علم داده و هوش مصنوعی است که در دولت، دانشگاه و صنعت کار می‌کند. او اولین مدیر مدیریت و مدیر ارشد هوش مصنوعی و داده مرکز آموزشی برای تحقیقات هوش مصنوعی، و استاد دانشیار و رئیس Aboitiz در علم داده در موسسه مدیریت آسیا است، جایی که او اولین برنامه کارشناسی ارشد در علم داده کشور را از سال ۲۰۱۷ تا ۲۰۲۴ تأسیس و رهبری کرد. او در هیئت‌مدیره شرکت‌ها خدمت می‌کند، عضو موسسه مدیران شرکتی، متخصص حرفه‌ای گواهی‌شده حاکمیت هوش مصنوعی IAPP و یکی از بنیانگذاران CorteX Innovations است.