董事会应向人工智能要求什么：评估、审计和保证

由 Erika Fille T. Legara撰写

在之前的BusinessWorld文章中,我认为人工智能治理不仅仅是监督少数技术项目,现在还包括确保整个组织中由人工智能驱动的决策与策略、风险偏好和道德标准保持一致。董事会自然会问的后续问题是:除了设定期望之外,组织如何验证其人工智能系统是否真正按预期、负责任地并在规定界限内运行?

答案在于三个相关但不同的学科:人工智能风险评估、人工智能审计和人工智能鉴证。熟悉财务监督的董事会会发现这个逻辑很直观。挑战和机遇在于将同样的纪律应用于人工智能。

3个不同但相关的概念
精确理解每个术语的含义很有帮助,因为它们经常被互换使用,但不应该如此。

人工智能风险评估是组织识别、评估和优先处理与其人工智能系统相关风险的内部流程。它询问可能出什么问题、可能性有多大以及影响会是什么。这是其他一切的基础。如果没有可信的风险评估,审计和鉴证都没有有意义的基准可依据。重要的人工智能系统存在于每个行业:银行的信用评分模型、医院的患者分诊工具、大学的学生表现预测器、政府机构的案件优先级系统。它们的共同点是后果,包括以有意义的方式影响真实人群的输出。

对于任何此类系统,风险评估应该是系统性的、有文档记录的,并随着模型的演变和运营环境的变化而定期重新审视。

人工智能审计是对人工智能系统或其周围的治理框架是否符合规定标准、政策或要求的独立检查。这是由与被审查系统负责方充分独立的一方进行的基于证据的流程。人工智能审计可能评估组织的人工智能管理实践是否符合国际公认标准,例如2023年发布的世界首个人工智能管理系统标准ISO/IEC 42001,或特定模型是否在批准参数内运行且没有意外偏见。重要的是,管理审计师本身的标准ISO/IEC 42006于2025年7月发布,现在规定了审计和认证人工智能管理系统的机构所需的能力和严谨性。换句话说,审计行业正开始正式确定其对人工智能业务的问责制。

人工智能鉴证是从审计流程中产生的面向利益相关者的正式结论。这是由合格且独立的一方发布的专业意见,让董事会、监管机构、投资者和公众确信人工智能系统或人工智能管理框架符合规定标准。鉴证将内部审查转变为可信的外部信号。

人工智能鉴证的基础
独立鉴证的概念对董事会来说并不陌生。每年,外部审计师检查组织的财务报表并发表意见;这是基于证据的结论,根据国际公认标准进行,并以审计师的专业独立性为基础。该意见之所以有分量,正是因为管理它的框架严格且完善。这个逻辑适用于所有行业;无论组织是银行、医院、企业集团还是公共机构,财务审计都是一个熟悉且可信的机制。

同样的逻辑现在适用于人工智能。当组织对其人工智能系统做出公开或监管声明时,声称它们公平、透明、符合规定标准或没有重大偏见,问题是:谁独立验证该声明,以及在什么专业框架下?

对于会计和审计行业来说,答案是ISAE 3000,即国际审计与鉴证准则委员会(IAASB)发布的国际鉴证业务准则。ISAE 3000管理历史财务信息以外事项的鉴证业务,使其成为人工智能鉴证的天然归属。根据该标准,专业人士可以进行合理鉴证业务(类似于财务审计的较高标准)或有限鉴证业务(深度更接近审阅)。级别的选择很重要,应该是深思熟虑的,根据相关人工智能系统的重要性和风险进行校准。

一个密切的当代平行例子是可持续性或ESG鉴证。许多菲律宾上市公司已经委托对其可持续性披露进行独立鉴证,通常根据ISAE 3000。机制完全相同:独立从业者根据规定标准检查一组声明并发表正式结论。主题不同;专业纪律相同。

这对董事会意味着什么
从这个框架中得出三个实际含义。

首先,董事会应询问其组织是否对重要系统进行了严格的人工智能风险评估。这不是一次性练习,而是随着模型重新训练、用例扩展和监管环境演变而更新的持续流程。下游审计和鉴证工作的质量仅取决于之前的风险评估。

其次,董事会应区分内部和外部人工智能审计。内部审计职能在确保人工智能控制按设计运作方面发挥关键作用。然而,董事会还应考虑是否需要对重要人工智能系统进行独立的第三方审计,特别是对以重大方式影响客户、员工或公众的系统。与财务审计一样,独立性增强可信度。

第三,随着组织越来越多地向监管机构、投资者和所服务的社区做出关于其人工智能实践的公开承诺,董事会应询问这些承诺是否有可信的鉴证支持。没有独立验证的断言充其量是等待实现的声誉风险。

仍在建设能力的行业
如果不承认其当前的局限性,呈现这一格局将是不完整的。人工智能鉴证的基础设施仍在建设中。专业标准正在出现。审计师在人工智能方面的能力,涵盖机器学习、算法偏见、数据治理和模型透明度,尚未在整个行业统一发展。ISAE 3000提供了鉴证框架,但其中的人工智能特定方法论仍在成熟。

对于尚未准备好追求正式鉴证的组织来说,这不是停滞不前的理由。对重要人工智能系统进行结构化、定期评估是有意义且实用的第一步。它建立了内部纪律、文档记录和治理习惯,这些最终是鉴证准备所需的。今天委托进行此类评估的董事会,即使是非正式的,也在发展制度性力量,当监管期望加强和利益相关者审查加强时,这将很重要。

这是我与同事在研究中更深入探讨的观点,研究审视了监管尚未跟上技术的经济体中的生成式人工智能治理。中心论点是,企业已经是道德主体,对其利益相关者负有现有的道德义务;等待定制的人工智能立法既不必要也不足以实现负责任的治理。行动的义务已经存在。所需要的是组织实施它的意愿。

这不是董事会等待更广泛议程的理由。这是现在向外部审计师、内部审计职能和管理团队提出知情问题的理由,以便当行业能力赶上需求时,他们的组织准备好有意义地参与。

财务审计并非完全成形地出现。经过数十年的标准制定、专业发展和从企业失败中吸取的惨痛教训,独立审计才成为今天可信的机构。人工智能鉴证正处于可比的早期转折点。现在参与其中的董事会,向审计师提出更尖锐的问题,要求的不仅仅是管理层的断言,并在监管机构要求之前建立内部能力,不仅会减少自身的风险。他们将帮助塑造菲律宾组织和更广泛地区负责任的人工智能问责制的样子。

Erika Fille T. Legara是一名物理学家、教育家和数据科学及人工智能从业者,在政府、学术界和工业界工作。她是人工智能研究教育中心的首任董事总经理兼首席人工智能和数据官,也是亚洲管理学院的副教授和Aboitiz数据科学讲席教授,她在那里创立并领导了该国首个数据科学硕士课程,时间从2017年到2024年。她担任企业董事会成员,是企业董事学会会士、IAPP认证人工智能治理专业人士,以及CorteX Innovations的联合创始人。