夜雨聆风
前言
数字浪潮奔涌不息,人工智能(以下简称“AI”)正由“可选技术”演进为“核心基础设施”,以前所未有的速度重塑经济社会运行的底层逻辑。从智能营销、运营提效到风控合规,AI已不再是边缘的提效工具,而是驱动商业模式创新与组织运营变革的核心引擎。然而,技术纵深应用亦伴随风险敞口持续扩大。AI算法不透明、模型偏见影响决策的客观性与公正性,训练数据缺陷削弱AI洞察的可信度,隐私泄露更是直接动摇客户信任根基,这些风险将引发合规问责与声誉危机。伴随而来的更深层挑战,是多数企业的AI管理能力远滞后于技术扩张的速度,可信AI管理体系亟待构建。
毕马威依托深耕行业的专业积淀、全球化视野与前沿实践洞察,通过深入剖析AI应用场景识别潜在风险,助力组织在智能化转型中筑牢根基,建立客户、监管者及利益相关方的深度信任;以有效的审计为创新松绑,让AI应用在安全的轨道上稳健前行。本文分享毕马威AI审计方法论的核心框架与关键思考,以“审”筑“信”,筑牢信任之基。我们诚挚地邀请您关注毕马威在AI审计领域的前沿思考,未来将在与“AI同行”系列文章与您持续探讨。
董常凌
信息技术审计服务主管合伙人毕马威中国
AI在提升生产效率的同时,也同步拓宽了风险边界。当算法逻辑日益复杂、AI模型持续迭代,传统审计已难以穿透技术纵深、捕捉动态风险。毕马威希望以AI审计的前沿思路,助力企业将AI应用从“可用”迈向“可信”,在不确定的技术浪潮中,筑牢确定的信任之基。
不止“AI幻觉”
AI应用到底面临哪些风险
在毕马威的实务观察中,AI正从辅助工具演变为业务与财务流程的“深度参与者”。企业在收获技术红利与商业变革的同时,随之面对一系列AI衍生的新风险:
图示:AI风险管理框架
在核心业务与财务场景下,这些AI风险已不容回避:
核心源头:技术内生风险
AI“幻觉”生成偏离事实的结论,直接动摇决策的客观性与公正性。模型固有局限导致看似合理实则错误的输出,诱发执行性风险。
叠加放大:解释与数据风险
算法可解释性瓶颈与数据缺陷叠加,使AI输出既不可解释也不可信。不可解释性加上训练数据偏差,系统性削弱可靠性,引发业务威胁。
合规红线:外部监管风险
全球AI与数据法规加速收紧,AI应用已从技术选项变为合规义务。中国《生成式人工智能服务管理暂行办法》、欧盟《人工智能法案》等重塑合规底线,不可回避。
可以看到,AI面临的已不仅是内部模型逻辑的技术题,而是一张交织了黑箱幻觉、数据偏见与全球监管合规的风险网。如何通过AI审计建立起一个可靠且持续合规的AI应用环境,才是让AI从“能用”到“可信”的关键一跃。
并非固化模式
AI审计如何因地制宜精准施策
面对AI多重风险与日益收紧的监管框架,组织需要的不仅是一份符合当下合规要求的审计报告,更是一套能够持续识别、评估并审计AI应用潜在风险的体系。基于此,毕马威提出“AI审计”决策树方法论,其核心在于因地制宜针对AI应用风险开展评估、深度解读AI的控制活动,并精准实施审计策略。
图示:AI审计决策树
第一步:摸清AI应用的场景
该决策树以“了解AI在组织中的实际应用场景”为逻辑起点。不同于传统审计对系统配置的简单复核,这一阶段要求审计师深入理解AI应用场景,厘清AI模型的决策边界、数据流向及关键控制点,为后续AI审计奠定事实基础。
第二步:风险识别与评估
AI应用是否引入了传统审计未曾覆盖的额外风险?这要求审计师关注模型偏见、数据漂移、算法不可解释性等技术性风险向业务风险的传导路径。
第三步:审计策略需精准适配
基于上述判断,决策树进一步通过"风险应对方式"将审计场景细分为四种典型情形:
AI审计——四类场景适配
请点击下方场景开启详解
对于通过以上决策树识别出需进行测试的AI自动化控制,测试范围将覆盖相关AI模型的风险应对全流程,包括验证AI自动化控制有效性、识别AI模型相关系统层的延伸风险,并执行相应控制的测试。
通过上述逐层递进的测试链路,确保由AI模型主导或参与的风险应对闭环能够稳定、可靠运行。值得强调的是,这一AI审计决策树并非僵化的检查清单,而是为AI审计提供了结构化的思考框架。它要求审计师在标准化的方法论基础上,保持对技术场景的专业判断,最终实现,以“审”筑“信”,构筑信任的价值闭环。
不仅代码审核
AI审计如何场景先行精准切入
在AI审计的方法论中,一个常见的认知误区是将审计起点设定为算法模型的技术审查,逐层拆解神经网络结构、校验参数调优逻辑、评估代码实现细节。然而,审计的逻辑起点从来不是黑盒解码,而是场景洞察。每一项AI应用的部署,都嵌入在特定的治理领域、业务流程与信息系统之中。场景一旦确立,风险来源、控制触点、测试重点也就随之清晰:
治理维度:
锚定全生命周期管理框架
首先评估企业是否建立了覆盖AI应用全生命周期的治理政策。这不仅包括模型的开发审批、部署授权与持续监督机制,更涉及模型的版本控制、部署授权、回滚预案、下线流程与持续监督机制等,以及关键决策节点的留痕要求。
业务流程维度:
识别嵌入节点与风险传导路径
其次,需要精准识别AI嵌入在哪些财务核算或业务运营环节,它替代或辅助了哪些关键人工复核,以及由此引入了哪些新的错报风险或操作风险。
IT环境维度:
厘清技术底座与接口风险
在系统层面,需厘清AI运行所依赖的系统架构、数据流向、外部API接口调用情况,以及对现有网络安全策略、权限管控体系和数据治理架构带来的叠加影响。AI系统往往并非孤立运行,其与周边系统的耦合关系可能成为风险传导的隐性通道。
值得注意的是,AI的应用往往超出传统部门的边界。财务管理、业务运营、信息系统团队等均可能部署与财务报告生成直接或间接相关的AI工具。审计工作必须在风险评估阶段主动延伸至这些领域。
对于企业而言,提前梳理AI应用场景具有战略价值:明确每一个AI应用的用途定位、归属部门、管理职责、监督机制,既是与审计师高效协作的基础,也是衡量自身AI管理成熟度的重要标尺。
人工不一定兜底
AI审计中人工控制如何有效落地
在AI管理实践中,"人工介入"(Human-in-the-Loop, HITL)已成为企业最普遍采用的控制模式之一,即由AI完成初步处理,再由人工执行复核把关。然而,一个常见的治理误区是将HITL简单视为风险的“兜底机制”,认为“只要有人看过,控制就算有效”。
评估HITL控制的有效性,审计师通常需要穿透至以下三个层面展开验证:
控制设计的充分性:
AI控制设计与例外输出是否可靠?
首先需审视人工复核的任务范围,是否真正覆盖了AI可能出错的所有关键情形。除了聚焦于AI控制标记的异常数据,审计师更需要验证AI本身识别和标记这些例外项的机制是否准确可靠?
控制执行的有效性:
复核人员是否具备真正的质疑能力?
即便控制设计完善,其有效性仍高度依赖执行层面。复核人员是否真正理解AI输出结果的基本逻辑及固有局限?复核人员是否具备识别模型偏见、数据漂移的专业能力?更重要的是,复核人员是否被赋予并实际行使了质疑AI判断的权力,而非在系统结论面前简单“审批通过”。
控制证据的完整性:
复核过程是否留下充分审计轨迹?
有效的控制必须可被验证。审计师需要评估复核过程是否形成了充分、可追溯的审计证据,包括复核的具体内容、发现的问题、做出的专业判断、以及后续跟进措施。
HITL的有效性,取决于控制设计的充分性、执行过程的有效性、以及证据链条的完整性三者的共同支撑。缺乏任何一个环节,人工复核不仅无法弥补AI的固有缺陷,反而可能因为 “有人把关” 的形式合规错觉,掩盖控制漏洞,削弱整体治理体系的可靠性,最终成为风险隐匿的盲区。
图示:人工介入有效性前后对比
左右滑动卡片,对比“无效人工复核”与“规范人工介入”的差异。
请左右滑动查看
信任构筑:
让AI从“可用”走向“可信”
人工智能在释放效率红利的同时,也带来前所未有的治理挑战。在实践中,真正考验审计师与企业治理层的,往往不是技术细节的复杂度,而是对AI风险边界的系统性认知,以及对控制有效性的专业判断。
AI审计正推动企业从技术 “可用” 向技术 “可信” 跃迁。它以独立、专业的审计视角,通过场景化风险评估、控制有效性测试与持续监督,将技术不确定性转化为可量化的风险敞口,将合规要求沉淀为组织韧性,最终使每一次AI驱动的决策都经得起利益相关方的审视。
对企业而言,这意味着AI应用不再游离于治理体系之外,而是被纳入与传统财务、运营控制同等重要的审计范畴。当AI模型的输出可被验证、控制活动可被测试、复核痕迹可被追溯,企业才能真正实现可信AI运用。
对行业的透彻理解及对全球动态的敏锐捕捉,使毕马威能够识别AI在财务与业务场景中的风险点与审计需求,从而形成覆盖AI全生命周期的审计服务。我们凭借专业审计能力,助力组织在智能化转型中锚定信任坐标,让AI应用在安全可控的基础之上释放价值。
智启新程,信领未来。
毕马威,与您携手共筑可信的人工智能未来。
联系我们
董常凌
信息技术审计服务主管合伙人
毕马威中国
jason.dong@kpmg.com
宣杰
华东及华西区和华南区
信息技术审计服务合伙人
毕马威中国
eric.xuan@kpmg.com
斯小霆
北方区信息技术审计服务
合伙人
毕马威中国
jason.si@kpmg.com
高橙晨
审计质量与执业技术部
合伙人
毕马威中国
kitty.gao@kpmg.com
胡建南
信息技术审计服务
总监
毕马威中国
jj.hu@kpmg.com
章沁
信息技术审计服务经理
毕马威中国
aq.zhang@kpmg.com
四大君推荐大家关注更多财融行业优质公众号,获得更全面的行业资讯信息。
中国注册会计师俱乐部(ID:cicpaclub)是中国注册会计师的职场分享和学习交流平台。
咨询头条(ID: zixuntoutiao666)聚焦于咨询圈的最新热点资讯!
财融圈(ID: cairongquan360)是中国领先的财务金融职业发展机构!
CFO职业圈(ID:cfocareer)是CFO的职业发展和专业交流平台。
END
精彩推荐
四大新鲜事儿视频号
