أدوات مراجعة لا تعرف أنها عالية المخاطر

لنبدأ بما يخطئ فيه معظم المراجعين. يفترض كثيرون أن أدوات التحليل المالي التي يستخدمونها تقع في فئة المخاطر المحدودة أو الدنيا بموجب القانون. هذا صحيح لمعظم أدوات التحليل التقليدية وبرامج أخذ العينات. هذه الأدوات تخضع لمتطلبات شفافية أساسية فقط (إعلام المستخدمين أنهم يتفاعلون مع ذكاء اصطناعي) ولن تحتاج تغييرات كبيرة.

لكن الحقيقة أن بعض الأدوات التي نستخدمها تجاوزت هذا الحد. المادة 6 من القانون تحدد أنظمة المخاطر العالية كتلك المستخدمة في الامتثال القانوني والبنية التحتية الحيوية. أداة تحلل معاملات مالية وتكشف مؤشرات احتيال تلقائياً هي أداة عالية المخاطر. أداة تقيّم مخاطر استمرارية المنشأة بالتعلم الآلي هي أداة عالية المخاطر. أداة تصنّف حسابات لتحديد تركيز المراجعة وتؤثر على قرارات بشأن أفراد محددين هي أداة عالية المخاطر. لا يكفي أن الأداة "تعمل جيداً". يجب أن تكون حاصلة على علامة CE وإعلان امتثال الاتحاد الأوروبي وتقييم مطابقة موثق.

من وجهة نظري المتواضعة، هذا هو الخطأ الأكبر الذي أراه: فرق مراجعة تعتمد على أدوات ذكاء اصطناعي في قرارات جوهرية دون أن تسأل حتى عن تصنيف المخاطر. الأمر يشبه الحوكمة الورقية: الأداة موجودة، التقارير تصدر، لكن لا أحد تحقق من أن الأساس القانوني سليم.

ماذا يتطلب القانون فعلاً من المراجع

المادة 9 من القانون تتطلب نظام إدارة مخاطر يحدد ويحلل المخاطر المعروفة والمتوقعة. بالنسبة للمراجع الذي يستخدم نظام ذكاء اصطناعي عالي المخاطر، هذا يعني توثيق كيفية تأثير قرارات النظام على استنتاجات المراجعة، وتحديد مخاطر الخطأ في التصنيف، ووضع ضوابط مراجعة بشرية للقرارات الحساسة. معيار المراجعة 220 يتطلب بالفعل ضبط الجودة. القانون يضيف طبقة ثانية تتعلق بالنظام نفسه لا بالمخرجات فقط.

المادة 13 تتطلب شفافية كافية لتمكين المستخدمين من تفسير النتائج. في الميدان، هذا يعني أن أداة كشف الاحتيال يجب أن تقدم تفسيراً لكيفية توصلها لتوصياتها، ومعلومات حول بيانات التدريب، وحدود دقتها وموثوقيتها. معيار المراجعة 230 يتطلب توثيق الاستدلال وراء الاستنتاجات المهنية. لكن هناك فرق بين توثيق "قررت أن هذه العينة كافية" وتوثيق "اعتمدت على نظام ذكاء اصطناعي صنّف 88% من المعاملات كمنخفضة المخاطر، وهذا هو أساس التصنيف، وهذه هي حدود دقته." الفرق ليس شكلياً. هو فرق في عمق التوثيق الذي سيطلبه أي مفتش.

أعتقد أن كثيراً من المكاتب ستكتشف هذه الفجوة متأخرة لأن القوالب الحالية لأوراق العمل لا تتضمن حقولاً لتوثيق اعتماد الذكاء الاصطناعي. القالب صُمم لعالم يقرر فيه المراجع، لا لعالم يُوصي فيه نظام آلي ويوقّع المراجع.

تقييم نظام كشف احتيال: مثال من الواقع

شركة الرياض للصناعات التقنية المحدودة تستخدم نظام ذكاء اصطناعي لتحليل أنماط المعاملات وكشف مؤشرات الاحتيال. النظام يحلل معاملات بقيمة 89 مليون يورو سنوياً ويرفع حوالي 12% منها للمراجعة اليدوية. كيف تقيّم هذا النظام؟

ابدأ بتحديد تصنيف المخاطر. النظام يؤثر على القرارات المالية ويمكن أن يؤثر على سمعة أفراد، مما يضعه في فئة المخاطر العالية بموجب المرفق الثالث. وثّق أساس التصنيف في ملف تقييم نظم المعلومات مع الإشارة إلى المرفق الثالث والمعايير المحددة.

ثم اطلب وثائق الامتثال من المطور. هل النظام حاصل على علامة CE؟ هل يوجد إعلان امتثال الاتحاد الأوروبي؟ هل أُجري تقييم المطابقة؟ إذا لم تكن هذه الوثائق متوفرة، النظام غير متوافق. نقطة. لا تبحث عن مبررات.

بعد ذلك قيّم نظم الرقابة الداخلية. كيف يراقب العميل دقة النظام؟ ما عملية المراجعة البشرية للحالات المرفوعة؟ وثّق إجراءات المراقبة المستمرة ومعدلات الخطأ المعروفة وعمليات التصحيح، لأن هذا يؤثر مباشرة على تقييم مخاطر الرقابة.

أخيراً، اختبر فعالية الضوابط. راجع عينة من الحالات التي رفعها النظام والحالات التي لم يرفعها. ما يحدث عملياً هو أن معظم الفرق تختبر الحالات المرفوعة فقط وتتجاهل الحالات التي مرّ عليها النظام دون تنبيه. هذا خطأ منهجي لأن الخطر الحقيقي ليس في ما رفعه النظام بل في ما أغفله.

ملاحظة توثيق: وثّق نتائج اختبار الحالات المرفوعة وغير المرفوعة معاً، وأي أخطاء في التصنيف، وتأثير ذلك على استراتيجية المراجعة. إذا كان معدل الخطأ في الحالات غير المرفوعة أعلى مما توقعته عند التخطيط، قد تحتاج لتوسيع العينة.

الخطأ المنهجي الذي لم يناقشه أحد

حتى الآن تحدثنا عن الامتثال: هل الأداة متوافقة مع القانون أم لا. لكن هناك سؤال أعمق لا أرى أحداً يطرحه.

قانون الاتحاد الأوروبي للذكاء الاصطناعي يتطلب شفافية في كيفية عمل النظام. معيار المراجعة 315 يتطلب فهم بيئة نظم المعلومات. لكن ماذا يحدث عندما يكون العميل نفسه يستخدم أنظمة ذكاء اصطناعي عالية المخاطر غير متوافقة مع القانون؟ هذا ليس مجرد ملاحظة على نظم المعلومات. هذا خرق امتثال تنظيمي يؤثر على مخاطر المراجعة والتقرير.

حسب خبرتي في هذا المجال، ممارسون ذوو خبرة يختلفون هنا اختلافاً حقيقياً. شريك مراجعة سيقول إن عدم امتثال العميل لقانون الذكاء الاصطناعي يُقيّم كأي مخاطر امتثال أخرى ضمن معيار المراجعة 250، ويُوثّق ويُبلّغ للمكلفين بالحوكمة. شريك آخر سيقول إن الموضوع أكبر: إذا كان العميل يعتمد على نظام غير متوافق في إعداد قوائمه المالية، فالسؤال ليس الامتثال بل موثوقية الأرقام نفسها. الموقف الثاني أصعب في التطبيق لكنه أدق. لأن القانون لا يطالب بالامتثال فقط. يطالب بأن النظام يعمل كما وُصف. وإذا لم يثبت ذلك، فالأرقام التي أنتجها مشكوك فيها.

هذه هي الرؤية التي لن تجدها في نص القانون: العلاقة بين امتثال الذكاء الاصطناعي ومخاطر التحريف الجوهري ليست علاقة امتثال تنظيمي فقط. هي علاقة موثوقية أدلة. إذا كان النظام الذي أنتج الأرقام لا يستوفي معايير الشفافية والدقة، فالأدلة التي اعتمدت عليها في المراجعة قد تكون إجراءات صورية: تبدو كأدلة لكنها حبراً على ورق.

ما يجب أن تفعله الآن

ابدأ بجرد أدوات الذكاء الاصطناعي المستخدمة في مكتبك. وثّق كل أداة تحليل تستخدم خوارزميات تعلم آلي، مع تحديد الغرض وطبيعة القرارات التي تؤثر عليها. ثم طبق معايير القانون لتحديد مستوى المخاطر لكل أداة. ركّز على الأدوات التي تؤثر على استنتاجات مالية أو تصنيف مخاطر.

للأدوات عالية المخاطر، تأكد من وجود إعلان امتثال الاتحاد الأوروبي وعلامة CE. حدّث نماذج أوراق العمل لتشمل حقولاً لتوثيق استخدام الذكاء الاصطناعي وتبرير الاعتماد على نتائجه. تأكد من أن الفريق يفهم حدود وإمكانيات هذه الأدوات.

لكن لا تتوقف عند أدواتك. إذا كان العميل يستخدم أنظمة ذكاء اصطناعي عالية المخاطر غير متوافقة مع القانون، فهذا خرق امتثال تنظيمي يجب أن ينعكس في تقييم مخاطر المراجعة وفي التقرير. في مكتبنا وجدنا أن إضافة بند "تقييم امتثال أنظمة الذكاء الاصطناعي" في قائمة مراجعة معيار المراجعة 315 كان الخطوة الأولى الأكثر فعالية، لأنه يجبر الفريق على طرح السؤال قبل أن يصبح مشكلة في ملاحظات الفحص المتكررة.

المحتوى ذو الصلة

- مسرد التقنيات المالية: تعريفات الذكاء الاصطناعي والتعلم الآلي في سياق المراجعة المالية.

- أداة تقييم مخاطر نظم المعلومات: قالب محدث ليشمل تقييم أنظمة الذكاء الاصطناعي وامتثالها التنظيمي.

- دليل معيار المراجعة 315: تحديد مخاطر التحريف الجوهري: كيفية دمج مخاطر أنظمة الذكاء الاصطناعي في تقييم مخاطر المراجعة.

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.