AI與自動化在IT審計中的角色探析

人工智能（AI）和自動化早已不是遙不可及的未來概念，而是融入了日常審計工作的現實工具。如今，審計人員借助這些技術完成各種任務：快速掃描海量數據、全面測試控制措施、發現以往需要數日才能識別的異常情況。然而，盡管工具有所升級，許多審計團隊仍面臨一個老問題——數據量過大，而系統變化之快，遠超傳統測試方法所能跟上的節奏。過去只需審閱幾百條記錄，如今卻要面對數百萬條，且審計日志和系統設置每分每秒都在更新，復雜性成倍增加。不過，AI 和自動化恰恰可能幫助我們應對這種規模帶來的挑戰：它們能對數據進行分類，并標記出異常活動，讓審計人員把精力集中在“為什么出錯”上，而不是反復統計“出錯多少次”。

當然，將這些工具用于審計工作也帶來了新的挑戰。很多時候，審計人員使用的算法和工具并非自己開發，這就讓人難以確定結果是如何生成的，以及這些結果是否真實、相關。此外，當某項工具或算法在審計測試中承擔了重要角色時，團隊應遵循哪些標準？為確保 AI 和自動化真正助力而非干擾工作，審計人員必須對其運作方式和潛在短板有基本理解——技術應當輔助人類判斷，而非取代它。

審計語境下的AI與自動化

當審計人員提到AI，通常指的是能夠從數據中學習并不斷優化的軟件。具體而言，這類模型可以識別不符合常規模式的交易；引擎能讀取文檔并提取關鍵信息；系統還能預測控制措施最可能出現失效的位置。

而自動化則幫助審計人員高效、一致地執行重復性任務，比如提取日志、匹配發票與訂單、核對訪問權限列表等。這兩類技術都能讓審計人員在更短時間內覆蓋更多證據范圍，但都無法替代定義這一職業的核心——專業判斷。

實踐中，這些工具的應用形式多種多樣：預測分析可掃描整個數據集，而非僅靠小樣本抽樣；自然語言處理工具能自動高亮文檔中的關鍵內容，大幅減少人工搜索時間；機器人腳本可在現場工作開始前就完成數據收集與整理，使審計人員更早獲得信息，并將節省下來的時間用于分析，而非手動搬運數據。

關鍵風險領域

在將AI和自動化用于現場審計之前，審計人員必須充分理解其帶來的若干風險。這些風險未必源于工具本身，而更常來自其所用數據、部署方式以及監督水平。無論公共部門還是私營機構的審計職能，都普遍面臨以下幾類問題。

數據中隱藏的偏見

AI系統的學習完全依賴于輸入的數據。如果底層數據包含過時假設或帶有偏見的模式，模型就會原樣復現。例如，某個供應商可能被反復標記為高風險，并非因其當前行為異常，而是因為多年前遺留的日志夸大了其風險。因此，審計人員必須清楚模型如何得出結論，且該邏輯能否用通俗語言解釋清楚。無法追溯或驗證的“黑箱”輸出，不適合用于鑒證工作。

要評估模型結論是否可靠，審計人員需檢查輸入數據的質量與流轉過程——包括數據來源、清洗方式和分組邏輯；理解模型生成結果所依據的規則；并審查是否有可用的測試或驗證記錄，以確認輸出準確且無偏。

垃圾進，垃圾出

若輸入模型的數據不完整或已過時，輸出結果自然也會失真。字段缺失會扭曲趨勢分析，編碼不一致則可能導致兩個完全相同的事件被誤判為無關。多項調查（包括加拿大政府內部審計師理事會〔GIACC〕2024年對公共部門審計職能的評估）均指出，數據質量是阻礙AI應用的主要障礙之一。因此，數據驗證、清洗和訪問控制本身已成為重要的審計議題。在依賴任何自動化結果前，審計人員應先測試數據管道的完整性。

切勿交出控制權

自動化并不免除責任。即便大部分測試由算法完成，審計人員仍須對最終結論負責。過度依賴AI可能削弱職業懷疑精神，因為工具輸出看似精確客觀，實則未必如此。審計人員應將AI視為初步篩選工具，再通過人工復核、詢問或其他程序驗證標記事項，確保發現結果在具體業務背景下合理可信。

法規正在加速跟進

AI相關的監管要求正迅速完善。例如，《歐盟人工智能法案》草案已明確透明度、數據治理和風險分級等義務，其官網持續更新進展。一旦AI處理個人數據，還需遵守《通用數據保護條例》（GDPR）和加拿大《個人信息保護與電子文件法》（PIPEDA）等隱私法規。未能滿足這些要求，不僅會損害信任，還可能招致處罰。在審計規劃早期就納入合規檢查，有助于降低此類風險。

模型自身也需要控制

AI模型會老化、漂移，甚至可能被惡意篡改。美國國家標準與技術研究院（NIST）發布的《AI 風險管理框架》（RMF）建議定期測試、版本管理和防范數據投毒及未授權修改。審計人員應像對待其他關鍵IT系統一樣對待AI模型：審查變更日志、確認版本控制機制，并評估監控流程是否能及時發現異常行為。

堅守倫理底線

某些AI應用會引發倫理爭議，尤其是在涉及員工監控、生產力數據分析或在缺乏上下文的情況下評估行為時。為應對這些問題，許多審計部門已制定AI使用政策，設立倫理審查委員會，并規定重大發現須經人工批準后方可采取行動。遵循經濟合作與發展組織（OECD）的AI原則，有助于強化問責制和負責任的使用。

治理如何發揮作用

治理在決定AI與自動化是增強還是削弱審計職能方面起著核心作用。結構化的方法能確保新工具支持審計目標、符合倫理與監管要求，并在清晰邊界內運行。現有治理框架可擴展以涵蓋AI引入的新風險與責任。

通過框架將AI與審計目標對齊

框架能有效確保AI工具輔助而非取代審計判斷。COBIT? 是一個理想的起點，因其將技術活動直接關聯到業務目標。其“評估、指導與監控”（EDM）實踐幫助審計團隊明確AI的使用預期、界定決策責任，并持續監控工具是否按預期運行。

“構建、獲取與實施”（BAI）域則支持負責任的部署。例如，BAI03（管理解決方案識別與構建）強調在發布前完成方案設計、測試與審批，這與驗證 AI 模型的邏輯、訓練數據和預期輸出高度契合；BAI06（管理 IT 變更）則確保所有模型更新均經過適當審查和記錄，降低“靜默漂移”或未授權修改的風險。

ISACA的《IT審計框架》（ITAF）和注冊信息系統審計師（CISA?）認證體系進一步提醒我們：技術應服務于鑒證目標。這些框架強調證據、文檔和可重復測試的重要性。應用于AI時，意味著必須確保算法輸出可追溯、可驗證、可解釋。框架的作用不是讓模型主導結論，而是將其作為審計人員綜合判斷中的一個輸入源。

值得注意的是，NIST AI RMF 提出了全生命周期風險管理；ISO/IEC 27001:2022 仍適用于信息安全與變更管理；而ISO/IEC 42001:2023則新增AI系統管理的具體要求。結合這些框架與標準，審計人員可更有效地定制適合自身環境的審查方法。

重視倫理與專業指引

對使用AI的審計人員而言，倫理正成為一項核心能力。培訓內容越來越多地涵蓋如何識別有害偏見、保護敏感數據。那些將倫理準則嵌入培訓體系的組織，往往在使用AI時表現出更清晰的決策、更完善的文檔和更強的問責意識。

公平、透明、問責和人類監督的價值無論如何強調都不為過。國際內部審計師協會（IIA）的《AI審計框架》提出了評估算法決策、驗證數據質量、確保AI結果可解釋且有據可依的具體做法。ISACA?也通過相關指引強調負責任使用、規范文檔記錄，以及在AI輔助測試中保持人類主導責任。此外，從事支付卡行業（PCI）相關評估的審計人員還可參考PCI安全標準委員會將于2025年發布的《在PCI評估中整合人工智能》指南，其中提供了在符合PCI要求前提下使用AI的實用建議。

這些原則共同確保：AI工具在提升鑒證效能的同時，不會削弱職業道德與專業義務。

彌合差距

傳統審計方法默認每個環節都依賴人工判斷。AI的引入改變了這一動態——自動化推理必須經過驗證。許多團隊通過人工抽樣復核AI輸出來彌補這一缺口，尤其當模型標記異常或劃分風險等級時。IIA更新的指引也提供了將此類核查融入標準鑒證流程的實例。如今，記錄AI如何貢獻審計證據、以及驗證其假設所采用的程序，已成為審計工作的必要組成部分。

熟悉數據與模型

隨著AI在審計中日益普及，審計人員需具備對模型行為的基本理解。他們不必會寫代碼，但應能解讀模型輸出，并對異常結果提出質疑。GIACC的調查顯示，審計人員對培養此類技能的興趣顯著上升，反映出這些工具正快速融入日常鑒證活動。

始終以判斷為核心

自動化可以提升效率，但無法替代人類判斷。當工具標記出異常，審計人員必須判斷其含義，以及是否真正構成控制缺陷。批判性思維和分析推理能力的培訓，有助于審計人員正確解讀系統輸出，確保結論有充分支撐。

通過認證與實踐學習

專業機構正通過定向培訓縮小技能差距。例如，ISACA推出的“AI審計專家認證”（AAIA?）專注于如何審計和治理AI系統。其他有益的發展方向包括數據分析、風險建模和AI倫理。一些審計團隊還安排員工輪崗至IT、數據分析或數據治理崗位，讓他們在日后評估這些系統前，先獲得一手操作經驗。

來自一線的經驗

審計人員正根據自身監管環境、數據成熟度和日常鑒證挑戰，積極探索AI應用。例如，英國政府內部審計署（GIAA）利用自然語言處理工具，自動總結冗長報告并提煉風險主題。

過去，審計團隊在規劃和咨詢性復核階段需耗費大量時間閱讀大量敘述性文檔，人工閱讀既限制覆蓋范圍，又影響一致性。為此，GIAA開發了一套基于AI的“洞察引擎”，能在過去一個小團隊審閱少量報告的時間內，處理并總結上百份報告。該工具幫助審計人員擴大覆蓋范圍、縮短規劃周期、更快識別重復出現的主題。當然，資深審計師仍會復核并驗證AI生成的洞察，確保最終決策由人類判斷主導。

這一案例充分體現了自動化與人工監督結合的價值：機器加速閱讀，而人確保上下文與判斷不失真。

結語

AI與自動化正在重塑IT審計。它們能擴大測試覆蓋面、縮短現場工作時間、提升洞察深度。但同時，也帶來了新風險——如數據偏見、黑箱模型、以及復雜的合規要求。COBIT、NIST AI RMF、ISO/IEC標準等指引，為負責任地采納這些技術提供了堅實基礎。

成功的關鍵在于將創新與強有力的治理、訓練有素的團隊相結合。從小處著手、提升數據質量、規范方法記錄，有助于維護審計的公信力。只要部署得當、使用得法，自動化非但不會威脅審計職業，反而能讓審計人員騰出更多時間去質疑、去建議——而這，正是審計價值的核心所在。

來源：ISACA微信公眾號

編輯：孫哲

目前190000+人已關注我們，您還等什么？