AI与自动化在IT审计中的角色探析

人工智能（AI）和自动化早已不是遥不可及的未来概念，而是融入了日常审计工作的现实工具。如今，审计人员借助这些技术完成各种任务：快速扫描海量数据、全面测试控制措施、发现以往需要数日才能识别的异常情况。然而，尽管工具有所升级，许多审计团队仍面临一个老问题——数据量过大，而系统变化之快，远超传统测试方法所能跟上的节奏。过去只需审阅几百条记录，如今却要面对数百万条，且审计日志和系统设置每分每秒都在更新，复杂性成倍增加。不过，AI 和自动化恰恰可能帮助我们应对这种规模带来的挑战：它们能对数据进行分类，并标记出异常活动，让审计人员把精力集中在“为什么出错”上，而不是反复统计“出错多少次”。

当然，将这些工具用于审计工作也带来了新的挑战。很多时候，审计人员使用的算法和工具并非自己开发，这就让人难以确定结果是如何生成的，以及这些结果是否真实、相关。此外，当某项工具或算法在审计测试中承担了重要角色时，团队应遵循哪些标准？为确保 AI 和自动化真正助力而非干扰工作，审计人员必须对其运作方式和潜在短板有基本理解——技术应当辅助人类判断，而非取代它。

审计语境下的AI与自动化

当审计人员提到AI，通常指的是能够从数据中学习并不断优化的软件。具体而言，这类模型可以识别不符合常规模式的交易；引擎能读取文档并提取关键信息；系统还能预测控制措施最可能出现失效的位置。

而自动化则帮助审计人员高效、一致地执行重复性任务，比如提取日志、匹配发票与订单、核对访问权限列表等。这两类技术都能让审计人员在更短时间内覆盖更多证据范围，但都无法替代定义这一职业的核心——专业判断。

实践中，这些工具的应用形式多种多样：预测分析可扫描整个数据集，而非仅靠小样本抽样；自然语言处理工具能自动高亮文档中的关键内容，大幅减少人工搜索时间；机器人脚本可在现场工作开始前就完成数据收集与整理，使审计人员更早获得信息，并将节省下来的时间用于分析，而非手动搬运数据。

关键风险领域

在将AI和自动化用于现场审计之前，审计人员必须充分理解其带来的若干风险。这些风险未必源于工具本身，而更常来自其所用数据、部署方式以及监督水平。无论公共部门还是私营机构的审计职能，都普遍面临以下几类问题。

数据中隐藏的偏见

AI系统的学习完全依赖于输入的数据。如果底层数据包含过时假设或带有偏见的模式，模型就会原样复现。例如，某个供应商可能被反复标记为高风险，并非因其当前行为异常，而是因为多年前遗留的日志夸大了其风险。因此，审计人员必须清楚模型如何得出结论，且该逻辑能否用通俗语言解释清楚。无法追溯或验证的“黑箱”输出，不适合用于鉴证工作。

要评估模型结论是否可靠，审计人员需检查输入数据的质量与流转过程——包括数据来源、清洗方式和分组逻辑；理解模型生成结果所依据的规则；并审查是否有可用的测试或验证记录，以确认输出准确且无偏。

垃圾进，垃圾出

若输入模型的数据不完整或已过时，输出结果自然也会失真。字段缺失会扭曲趋势分析，编码不一致则可能导致两个完全相同的事件被误判为无关。多项调查（包括加拿大政府内部审计师理事会〔GIACC〕2024年对公共部门审计职能的评估）均指出，数据质量是阻碍AI应用的主要障碍之一。因此，数据验证、清洗和访问控制本身已成为重要的审计议题。在依赖任何自动化结果前，审计人员应先测试数据管道的完整性。

切勿交出控制权

自动化并不免除责任。即便大部分测试由算法完成，审计人员仍须对最终结论负责。过度依赖AI可能削弱职业怀疑精神，因为工具输出看似精确客观，实则未必如此。审计人员应将AI视为初步筛选工具，再通过人工复核、询问或其他程序验证标记事项，确保发现结果在具体业务背景下合理可信。

法规正在加速跟进

AI相关的监管要求正迅速完善。例如，《欧盟人工智能法案》草案已明确透明度、数据治理和风险分级等义务，其官网持续更新进展。一旦AI处理个人数据，还需遵守《通用数据保护条例》（GDPR）和加拿大《个人信息保护与电子文件法》（PIPEDA）等隐私法规。未能满足这些要求，不仅会损害信任，还可能招致处罚。在审计规划早期就纳入合规检查，有助于降低此类风险。

模型自身也需要控制

AI模型会老化、漂移，甚至可能被恶意篡改。美国国家标准与技术研究院（NIST）发布的《AI 风险管理框架》（RMF）建议定期测试、版本管理和防范数据投毒及未授权修改。审计人员应像对待其他关键IT系统一样对待AI模型：审查变更日志、确认版本控制机制，并评估监控流程是否能及时发现异常行为。

坚守伦理底线

某些AI应用会引发伦理争议，尤其是在涉及员工监控、生产力数据分析或在缺乏上下文的情况下评估行为时。为应对这些问题，许多审计部门已制定AI使用政策，设立伦理审查委员会，并规定重大发现须经人工批准后方可采取行动。遵循经济合作与发展组织（OECD）的AI原则，有助于强化问责制和负责任的使用。

治理如何发挥作用

治理在决定AI与自动化是增强还是削弱审计职能方面起着核心作用。结构化的方法能确保新工具支持审计目标、符合伦理与监管要求，并在清晰边界内运行。现有治理框架可扩展以涵盖AI引入的新风险与责任。

通过框架将AI与审计目标对齐

框架能有效确保AI工具辅助而非取代审计判断。COBIT® 是一个理想的起点，因其将技术活动直接关联到业务目标。其“评估、指导与监控”（EDM）实践帮助审计团队明确AI的使用预期、界定决策责任，并持续监控工具是否按预期运行。

“构建、获取与实施”（BAI）域则支持负责任的部署。例如，BAI03（管理解决方案识别与构建）强调在发布前完成方案设计、测试与审批，这与验证 AI 模型的逻辑、训练数据和预期输出高度契合；BAI06（管理 IT 变更）则确保所有模型更新均经过适当审查和记录，降低“静默漂移”或未授权修改的风险。

ISACA的《IT审计框架》（ITAF）和注册信息系统审计师（CISA®）认证体系进一步提醒我们：技术应服务于鉴证目标。这些框架强调证据、文档和可重复测试的重要性。应用于AI时，意味着必须确保算法输出可追溯、可验证、可解释。框架的作用不是让模型主导结论，而是将其作为审计人员综合判断中的一个输入源。

值得注意的是，NIST AI RMF 提出了全生命周期风险管理；ISO/IEC 27001:2022 仍适用于信息安全与变更管理；而ISO/IEC 42001:2023则新增AI系统管理的具体要求。结合这些框架与标准，审计人员可更有效地定制适合自身环境的审查方法。

重视伦理与专业指引

对使用AI的审计人员而言，伦理正成为一项核心能力。培训内容越来越多地涵盖如何识别有害偏见、保护敏感数据。那些将伦理准则嵌入培训体系的组织，往往在使用AI时表现出更清晰的决策、更完善的文档和更强的问责意识。

公平、透明、问责和人类监督的价值无论如何强调都不为过。国际内部审计师协会（IIA）的《AI审计框架》提出了评估算法决策、验证数据质量、确保AI结果可解释且有据可依的具体做法。ISACA®也通过相关指引强调负责任使用、规范文档记录，以及在AI辅助测试中保持人类主导责任。此外，从事支付卡行业（PCI）相关评估的审计人员还可参考PCI安全标准委员会将于2025年发布的《在PCI评估中整合人工智能》指南，其中提供了在符合PCI要求前提下使用AI的实用建议。

这些原则共同确保：AI工具在提升鉴证效能的同时，不会削弱职业道德与专业义务。

弥合差距

传统审计方法默认每个环节都依赖人工判断。AI的引入改变了这一动态——自动化推理必须经过验证。许多团队通过人工抽样复核AI输出来弥补这一缺口，尤其当模型标记异常或划分风险等级时。IIA更新的指引也提供了将此类核查融入标准鉴证流程的实例。如今，记录AI如何贡献审计证据、以及验证其假设所采用的程序，已成为审计工作的必要组成部分。

熟悉数据与模型

随着AI在审计中日益普及，审计人员需具备对模型行为的基本理解。他们不必会写代码，但应能解读模型输出，并对异常结果提出质疑。GIACC的调查显示，审计人员对培养此类技能的兴趣显著上升，反映出这些工具正快速融入日常鉴证活动。

始终以判断为核心

自动化可以提升效率，但无法替代人类判断。当工具标记出异常，审计人员必须判断其含义，以及是否真正构成控制缺陷。批判性思维和分析推理能力的培训，有助于审计人员正确解读系统输出，确保结论有充分支撑。

通过认证与实践学习

专业机构正通过定向培训缩小技能差距。例如，ISACA推出的“AI审计专家认证”（AAIA™）专注于如何审计和治理AI系统。其他有益的发展方向包括数据分析、风险建模和AI伦理。一些审计团队还安排员工轮岗至IT、数据分析或数据治理岗位，让他们在日后评估这些系统前，先获得一手操作经验。

来自一线的经验

审计人员正根据自身监管环境、数据成熟度和日常鉴证挑战，积极探索AI应用。例如，英国政府内部审计署（GIAA）利用自然语言处理工具，自动总结冗长报告并提炼风险主题。

过去，审计团队在规划和咨询性复核阶段需耗费大量时间阅读大量叙述性文档，人工阅读既限制覆盖范围，又影响一致性。为此，GIAA开发了一套基于AI的“洞察引擎”，能在过去一个小团队审阅少量报告的时间内，处理并总结上百份报告。该工具帮助审计人员扩大覆盖范围、缩短规划周期、更快识别重复出现的主题。当然，资深审计师仍会复核并验证AI生成的洞察，确保最终决策由人类判断主导。

这一案例充分体现了自动化与人工监督结合的价值：机器加速阅读，而人确保上下文与判断不失真。

结语

AI与自动化正在重塑IT审计。它们能扩大测试覆盖面、缩短现场工作时间、提升洞察深度。但同时，也带来了新风险——如数据偏见、黑箱模型、以及复杂的合规要求。COBIT、NIST AI RMF、ISO/IEC标准等指引，为负责任地采纳这些技术提供了坚实基础。

成功的关键在于将创新与强有力的治理、训练有素的团队相结合。从小处着手、提升数据质量、规范方法记录，有助于维护审计的公信力。只要部署得当、使用得法，自动化非但不会威胁审计职业，反而能让审计人员腾出更多时间去质疑、去建议——而这，正是审计价值的核心所在。

来源：ISACA微信公众号

编辑：孙哲

目前190000+人已关注我们，您还等什么？